2024/12/19 15:45:08

Вирусы-вымогатели (шифровальщики) Ransomware


Содержание

Основная статья: Вредоносная программа (зловред)

Попав на компьютеры-«жертвы» вирусы-шифровальщики шифруют наиболее чувствительную для организации информацию, после чего злоумышленники начинают требовать выкуп.

Атаки шифровальщиков в странах мира

Вирусы-шифровальщики в России

Основная статья: Вирусы-вымогатели (шифровальщики) в России

Вирусы-шифровальщики на Тайване

Основная статья: Вирусы-вымогатели (шифровальщики) на Тайване

Вирусы-шифровальщики в Японии

Основная статья: Вирусы-вымогатели (шифровальщики) в Японии

Вирусы-шифровальщики в США

Основная статья: Вирусы-вымогатели (шифровальщики) в США

Вирусы-шифровальщики в Британии

Основная статья: Вирусы-вымогатели (шифровальщики) в Великобритании

Создание и распространение шифровальщиков

Сколько нужно злоумышленников, чтобы с нуля создать и распространить «эффективного» шифровальщика

Первое, что необходимо сделать, — написать троянца. Во-первых, для этого потребуется специалист по криптографии, который воплотит в коде определенный алгоритм шифрования. Во-вторых, если криптограф не силен в стелс-технологиях, нужен еще один программист, который будет обеспечивать скрытность действий энкодера в системе. Ему же стоит позаботиться о том, чтобы троянец не обнаруживался известными антивирусами. Иногда для этого даже нанимают тестировщика (уже третий член команды). Если планируется использование уязвимостей или прочие сложные сетевые «фокусы», то не обойтись еще и без специалиста по сетевым технологиям[1].

Итак, троянца написали и протестировали на антивирусах, с этим порядок. Теперь его надо распространить — ведь он не вирус, и сам размножаться не умеет. Тут потребуется еще больше народу. Во-первых, специалист по социальной инженерии, который придумает содержание спам-писем и сформулирует задание на разработку фишинговых сайтов. Это необходимо для того, чтобы максимальное число пользователей перешло по ссылке в письме, сохранило и запустило вложение или «купилось» на фишинговый сайт. Во-вторых, веб-дизайнер, который разработает упомянутый сайт. В-третьих, спамер, в идеале — с обширными базами для рассылки, лучше всего — четко таргетированными (база компаний, база физлиц в определенном регионе и т. д.). В-четвертых, специалист по «сокрытию улик», чья основная задача состоит в сохранении анонимности и скрытности действий всех участников преступного сообщества. И сюда же условно можно причислить «вольных художников» из мира киберкриминала — различных исследователей уязвимостей, которые ищут «дыры» в ОС и приложениях, после чего продают эту информацию разработчикам вредоносного ПО.Обзор российского рынка банковской цифровизации: импортозамещение, искусственный интеллект и собственные экосистемы 6.8 т

Конечно, зачастую услуги каждого из этих «специалистов» могут быть просто оплачены отдельно — например, куплена краденая база данных адресов и заказана спам-рассылка по ней, а один программист может применять знания из нескольких нужных областей. Кроме того, можно «расковырять» уже существующего троянца и, модифицировав его, распространить как нового. Для совсем ленивых есть вариант покупки на черном рынке готовой к распространению версии шифровальщика, которую достаточно настроить под свои реквизиты и выпустить в сеть, а то и вовсе купить доступ к «вредоносному облаку» с настроенной админ-панелью по принципу SAAS. Вариантов много, но, как показывает практика, самые удачные для злоумышленников атаки проводились именно с помощью новых уникальных троянцев с продуманной стратегией распространения. А значит — это был результат работы целой группы квалифицированных специалистов, направивших свои знания отнюдь не на благое дело.

Как троянец может попасть к вам на ПК и почему у вас может возникнуть желание запустить его

Почта. При отсутствии эффективного спам-фильтра в вашу почту будет сыпаться немыслимое количество самых разнообразных спамовых писем. Да, большая часть из них будет просто неуместной и навязчивой рекламой, но некоторые могут оказаться весьма «интересными». Сообщения о сборах на лечение больных детей, к которым приложены «подтверждающие медицинские документы», уведомления из налоговой инспекции и Ростелекома с требованиями оплатить налог, прочитать приложенную повестку в суд или срочно оплатить приложенный счет за услуги связи — самые частые уловки злоумышленников. Что интересно, зачастую в поле «От» у этих писем стоят реальные адреса налоговой инспекции или действующих сотрудников Ростелекома — это означает, что рассылка ведется со взломанных аккаунтов без ведома их владельцев. Изначальный «кредит доверия» этим компаниям вкупе с низкой осведомленностью подавляющего большинства офисных сотрудников о киберугрозах делает такие атаки весьма эффективными. Конечно, приложенные к таким письмам «документы» и оказываются этими самыми троянцами, которых пользователь запускает при открытии архивов. Важно, что хотя для человека такие «письма счастья» выглядят весьма серьезно, спам-фильтр вряд ли пропустит их, а почтовый антивирус сможет обезвредить известные ему угрозы, тем самым избавив пользователя от риска попасться на удочку злоумышленников.

Вредоносные сайты. Тут есть два варианта. В первом случае пользователь, скачивая приложения или другие файлы с фишинговых, взломанных или просто никем не контролируемых ресурсов (файлообменники, торренты и т. д.), сам запускает их, даже не подозревая, что вместе с полезным материалом получил вредоносный «довесок». Второй вариант развития событий еще хуже: достаточно бывает просто зайти на зараженный сайт, чтобы запустившийся скрипт загрузил на ПК троянца и активизировал его. К счастью, это возможно только при совершенно «небезопасных» настройках браузера и операционной системы. К несчастью, именно такие настройки и имеет большинство пользователей...

Сменные носители информации. Это основной путь заражения компьютеров, либо вообще не имеющих сетевых подключений, либо являющихся частью небольших локальных сетей без выхода в Интернет. Если сменный носитель, будь то флешка или съемный жесткий диск, заражен, а на компьютере не отключена функция автозапуска и нет антивирусной программы, то велик риск, что для активации троянца будет достаточно просто вставить устройство в USB-разъем.

Эти три пути являются основными и составляют те самые 90% «собственноручных» заражений. Остальные 10% приходятся на уже упомянутые эпидемии, а также различные диверсии и саботаж, удаленную установку и запуск троянцев.

Защита от вирусов-вымогателей (шифровальщиков)

Основная статья: Защита от вирусов-вымогателей (шифровальщиков)

Ransomware of Things (RoT)

Основная статья: Ransomware of Things (RoT)

Согласно отчету кибербезопасности Check Point 2020, представленному 8 июля 2020 года, в мире растущей гиперподключенности, когда устройства подключаются к одним и тем же сетям, наблюдается эволюция кибератак с помощью вымогателей. Вместо того, чтобы перехватывать информацию или данные компании или отдельного лица, злоумышленники берут на себя полное управление устройствами, подключенными к интернету. Пользователи не смогут использовать их, пока выкуп не будет выплачен. Эта тактика называется Ransomware of Things (RoT). Традиционные атаки с помощью вымогателей представляют риск для организаций, но RoT-атаки несут серьезные последствия для всего общества в целом.

Известные вирусы

Interlock (вирус-вымогатель)

Основная статья: Interlock (вирус-вымогатель)

Rasket

Основная статья: Rasket (вирус-вымогатель)

Conti

Основная статья: Conti (вирус-вымогатель)

DoppelPaymer

Основная статья: DoppelPaymer (вирус-вымогатель)

Pay2Key

Основная статья: Pay2Key (вирус-вымогатель)

RegretLocker

Основная статья: RegretLocker (вирус-вымогатель)

Ragnar Locker

Основная статья: Ragnar Locker (вирус-вымогатель)

CovidLock

Основная статья: CovidLock (вирус-вымогатель)

Ryuk

Основная статья: Ryuk (вирус-вымогатель)

Reveton

Основная статья: Reveton (вирус-вымогатель)

Maoloa

Основная статья: Maoloa (вирус-вымогатель)

DemonWare

Основная статья: DemonWare (вирус-вымогатель)

CryWiper

Основная статья: CryWiper (вирус-вымогатель)

LockBit

Основная статья: LockBit (вирус-вымогатель)

Sphynx

Основная статья: Sphynx (вирус-вымогатель)

HardBit

Основная статья: HardBit (вирус-вымогатель)

INC Ransom

Основная статья: INC Ransom (вирус-вымогатель)

ShrinkLocker

Основная статья: ShrinkLocker (вирус-вымогатель)

TargetCompany

Основная статья: TargetCompany (вирус-вымогатель)

2024

15 главных трендов в сфере вирусов-вымогателей

В 2024 году программы-вымогатели оставались одной из главных угроз кибербезопасности для организаций по всему миру. Злоумышленники продолжают разрабатывать вредоносные инструменты, а на смену ликвидированным преступным группировкам приходят новые. В обзоре Help Net Security, опубликованном 19 декабря 2024-го, выделяют 15 главных трендов в сфере вирусов-вымогателей.

1. Рост интенсивности атак

Примерно 83% опрошенных организаций в 2024-м столкнулись по крайней мере с одной атакой программ-вымогателей. Почти половина — 46% — респондентов сообщили о четырех и более атаках, а 14% указали на 10 и более нападений.

15 основных трендов в сфере вирусов-вымогателей

2. Появление новых групп вымогателей

Одним из самых продуктивных хакерских коллективов в плане распространения вирусов-вымогателей стал RansomHub. Несмотря на то, что эта группировка появилась только в феврале 2024 года, за несколько месяцев она вошла в число самых крупных операторов программ-шифровальщиков. RansomHub заявила о более чем 290 жертвах в различных секторах, атакованных в течение 2024-го.

3. Тестирование эффективности зловредов

Киберпреступники все чаще обращаются к пентестерам для проверки эффективности и надежности своих программ-вымогателей. Это повышает шансы на успех вторжений.

4. Обход многофакторной аутентификации (MFA)

Программы-вымогатели считаются самой значительной угрозой кибербезопасности во всех отраслях: 75% организаций пострадали от таких вирусов более одного раза в течение 2024 года. При этом обход MFA посредством перехвата сеанса создает дополнительные риски.

5. Рост требований злоумышленников

На фоне ухудшения ситуации с кибербезопасностью операторы вирусов-вымогателей требуют все больше денег за восстановление доступа к зашифрованным системам. Средняя сумма требуемого выкупа достигла $1 571 667.

6. Временные рамки

Большинство атак программ-вымогателей происходят между 1 и 5 часами утра. На США приходится 48% всех атак программ-вымогателей в мире.

7. Частота атак

74% респондентов, подвергшихся атакам с целью получения выкупа за 12 месяцев, столкнулись с хакерским вторжением несколько раз, причем многие в течение недели. 78% организаций, подвергшихся атакам, заплатили выкуп.

8. Развитие группировок

В течение первой половины 2024 года зафиксировано появление 21 команды вымогателей. Некоторые из них — это совершенно новые группировки, в то время как другие — ранее известные коллективы, которые провели ребрендинг.

9. Новые рекорды

В 2024 году зафиксирован крупнейший в истории выкуп в сумме $75 млн группировке Dark Angels.

10. Оплата выкупа

Около 80% опрошенных организаций, которые пострадали от вымогателей, платят выкуп, чтобы прекратить атаку и восстановить данные. Однако каждая третья компания, заплатившая деньги, все равно не может вернуть файлы.

11. Смена тактики

Многие компании делают резервные копии информации для оперативного восстановления в случае шифрования. На этом фоне хакеры меняют схемы атак.

12. Выбор жертв

Малые и средние предприятия сталкиваются с самым большим количеством атак. Согласно исследованию, более 50% жертв программ-вымогателей имеют в штате менее 200 сотрудников, а 66% — менее 500 сотрудников.

13. Рост расходов пострадавших компаний

В 2024 году средняя стоимость восстановления после атак шифровальщиков достигла $2,73 млн, что почти на $1 млн больше по сравнению с 2023-м.

14. Увеличение количества активных кибергруппировок

Их число за год поднялось на 55% — с 29 отдельных команд в первом квартале 2023 года до 45 групп в первом квартале 2024-го.

15. Выплата выкупа становится издержкой ведения бизнеса

94% респондентов заявили, что их компания заплатит выкуп за восстановление данных и бизнес-процессов в случае атаки вируса-вымогателя.[2]

Государственная энергетическая компания Коста-Рики отключила все ИТ-системы из-за атаки вируса-вымогатели и теперь молит о помощи

В начале декабря 2024 года государственная энергетическая компания Коста-Рики обратилась за помощью к американским экспертам, оказавшись под атакой вируса-вымогателя. Из-за сбоев в работе компании пришлось отключить ИТ-системы и перейти на ручное управление. Подробнее здесь.

Schneider Electric призналась в атаке вируса-вымогателя

В начале ноября 2024 года французская компания Schneider Electric призналась в атаке вируса-вымогателя, которая привела к выходу из строя ИТ-системы. Ответственность за атаку с использованием вируса-вымогателя взяла на себя относительно неизвестная группа хакеров HellCat. Злоумышленники пригрозили раскрыть информацию, если им не заплатят выкуп в размере $125 000. Подробнее здесь.

Крупнейшего в Германии фармдистрибутора атаковал вирус-вымогатель

В конце октября 2024 года крупнейший в Германии фармдистрибутор AEP сообщил о кибератаке на свою ИТ-инфраструктуру. В результате хакерского вторжения были парализованы поставки лекарственных препаратов в тысячи аптек по всей стране. Подробнее здесь.

Работа 13 аэропортов Мексики парализована из-за атаки вируса-вымогателя. Хакеры требуют выкуп

В конце октября 2024 года хакеры атаковали оператора обслуживания 13 аэропортов по всей Мексике, парализовав его электронные системы. Компании Grupo Aeroportuario del Centro Norte пришлось обратиться к резервным системам, чтобы продолжить работу в аэропортах центральной и северной Мексики, обслуживающих более 19 миллионов пассажиров в год. Подробнее здесь.

Эксперты проанализировали атаки вымогателей Shadow и Twelve на российские компании

Компания F.A.C.C.T. выпустила подробное исследование группировки «двойного назначения» Shadow/Twelve, активно атакующей российские организации. Эксперты Лаборатории цифровой криминалистики F.A.C.C.T. изучили десятки атак вымогателей Shadow, Comet, DARKSTAR и хактивистов Twelve. В отчете «Тени не скроются: Расследование атак группировки Shadow» эксперты Лаборатории цифровой криминалистики F.A.C.C.T. детально изложили технические детали, на основании которых прослеживается тесная связь этих группировок. Об этом компания сообщила 15 октября 2024 года.

Специалисты Лаборатории цифровой криминалистики компании F.A.C.C.T. фиксировали атаки преступного синдиката Shadow (известного также как Comet, DARKSTAR) и Twelve на российские компании с февраля 2023 года. К июлю 2024 года эти злоумышленники атаковали не менее 50 организаций в России. Эксперты F.A.C.C.T. установили тесную взаимосвязь между Shadow и Twelve: они являются частями одной объединенной группы, которую так и назвали по первому имени — Shadow. В атаках группа применяла идентичные тактики, техники и процедуры, со временем совершенствуя их, помимо этого, специалистами F.A.C.C.T. выявлен уникальный почерк группы при использовании инструментов, а в ряде атак Shadow и Twelve одного периода времени зафиксирован факт использования общей сетевой инфраструктуры.

Обнаруженный преступный синдикат продемонстрировал тенденцию — группы «двойного назначения», которые преследуют как финансовые, так и политические цели. В один период две совершенно разные на первый взгляд группировки с противоположными целями совершили атаки с использованием программ-вымогателей. «Подгруппы» проводили атаки на российские компании, но преследовали разные цели: Shadow заинтересована в вымогательстве денег, а Twelve стремилась к полному разрушению ИТ-инфраструктуры своих жертв.

Участники Shadow чаще всего атаковали организации в сфере производства и инжиниринга — их доля составила 21,3%, логистики и доставки, ИТ (по 10,7%), строительства, телекоммуникаций и финансовых услуг (по 7,1%). Кроме того, эта же группа сменила название на Comet и стала самым «жадным» вымогателем в 2023 году, потребовав от зашифрованной компании 321 млн рублей (около $3.5 млн),когда средняя сумма первоначального выкупа за расшифровку данных составляла 90 миллионов рублей.

Кроме того, злоумышленники не брезговали любой наживой и не останавливались на атаках только на организации, но и похищали криптовалюту у их сотрудников. В некоторых случаях злоумышленники смогли получить доступ к аутентификационным данным в браузерах и менеджерах паролей, что позволило им получить доступ к платформам для управления криптовалютными активами и похитить финансовые средства физических лиц.

В отличие от Shadow, в сообщениях в Telegram-канале Twelve указывалось, что группа преследует в своих атаках исключительно политические мотивы, а цели их атаки — кража конфиденциальной информации, диверсия и PR-эффект.

В качестве начального вектора атаки группа «двойного назначения» использует уязвимости в публично доступных приложениях, доверительные отношения (Trusted Relationship), купленные на закрытых площадках учетные данные, внешние сервисы удаленного доступа RDP и VPN, и фишинг. Злоумышленники применяют для создания программ-вымогателей утекшие в публичный доступ билдеры и исходные коды LockBit 3 (Black) и Babuk для ESXi. Одним из фирменных приемов группы стала кража учетных записей в Telegram на устройствах жертв, что после проведения атак позволяло им шпионить за сотрудниками атакованной компании и оказывать дополнительное давление.

«
Группа, а точнее сказать, кибербанда проводила атаки на российские компании с внешне разными целями. Под именем Shadow она была мотивирована жаждой наживы, а действуя как Twelve, стремилась к полному разрушению ИТ-инфраструктуры своих жертв. Для таких кибербанд не работают прежние подходы атрибуции, — отметил руководитель Лаборатории цифровой криминалистики и исследования вредоносного кода компании F.A.C.C.T. Антон Величко. — Эти открытия не только демонстрируют высокую степень координации внутри кибербанд и между ними, но и подчеркивает серьезность угроз, с которыми сталкивается российский бизнес в условиях геополитического противостояния.
»

Исследование будет полезно руководителям групп кибербезопасности, аналитикам SOC, CERT, специалистам по реагированию на инциденты, Threat Intelligence и Threat Hunting, а также компаниям из различных секторов для подготовки проактивной защиты.

Хакеры-вымогатели заблокировали ИТ-системы швейцарского промышленного холдинга Schlatter и требуют выкуп

В середине августа 2024 года швейцарский промышленный холдинг Schlatter Industries AG стал жертвой кибератаки. Согласно заявлению компании, специалисты холдинга вместе с внешними экспертами принимают меры для максимально быстрого ограничения ущерба. Руководство компании связалось с властями и вместе с полицией занимается расследованием. Подробнее здесь

300 индийских банков остановили работу из-за атаки вируса-вымогателя

В конце июля 2024 года атака с использованием вируса-вымогателя вынудила 300 небольших индийских банков приостановить платежные услуги. Подробнее здесь

Лувр и еще 40 музеев Франции атаковал вирус-вымогатель. Базы данных заблокированы

В начале августа 2024 года Лувр, Гран-Пале и еще примерно 40 музеев Франции подверглись масштабной кибератаке. Злоумышленники воспользовались программой-вымогателем, после внедрения которой базы данных пострадавших организаций оказались полностью заблокированы. Подробнее здесь.

Хакерам-вымогателям заплатили рекордный выкуп в $75 млн

В конце июля 2024 года исследователи компании по кибербезопасности Zscaler ThreatLabz отследили рост атак с использованием программ-вымогателей на 18 % в годовом исчислении. Среди прочего они обнаружили доказательства рекордного выкупа в размере 75 млн долларов, выплаченного хакерам неизвестной жертвой в начале 2024 года.

Ранее компания Varonis также собирала статистику по программам-вымогателям и сообщала, что самая крупная сумма выкупа была зафиксирована в 2021 году, когда страховой гигант CNA Financial заплатил ошеломляющие 40 млн долларов. Однако последний отчет Zscaler ThreatLabz показывает, что аппетиты хакеров только растут, как и число атак.

Крупная компания заплатила вымогательской группировке Dark Angels рекордный выкуп в размере $75 млн

По словам исследователей, в январе-июне 2024 года США был зарегистрирован поразительный рост числа атак программ-вымогателей - на 93%. Больше всего от киберпреступных банд пострадали здравоохранение, производственная и технологическая отрасли, причем количество атак на производственную отрасль оказалось более чем вдвое выше, чем в двух других отраслевых группах вместе взятых. Что касается географического направления, то на США приходится почти половина всех атак программ-вымогателей, следующей идет Великобритания.

В целом исследователи Zscaler смогли отследить в общей сложности 391 банду хакеров, рассылающих программы-вымогатели, причем в период с апреля 2023 года по апрель 2024 года было выявлено 19 новых банд. Рекордный платеж в 75 млн долларов получила банда Dark Angels, которая ранее не попадала в поле зрения СМИ. Фактически, эта группа программ-вымогателей даже не входит в десятку самых активных групп в отчете, а лидирующее положение прочно занимает группа хакеров LockBit, которая обеспечила более чем в два раза больше атак, чем группа BlackCat (ALPHV), занимающая второе место, следом за которой идут банды 8Base, Play и Clop.[3]

Хакеры заблокировали ИТ-системы британской медкомпании вирусоми теперь требуют $50 млн выкупа

В конце июня 2024 года стало известно, что группа хакеров заблокировала ИТ-системы британского поставщика лабораторных услуг с помощью вируса и теперь требуют $50 млн выкупа. Тем временем атака вируса-вымогателя на несколько недель парализовала работу лондонских больниц. Подробнее здесь.

100 медучреждений в Румынии атаковал вирус-вымогатель. Их компьютеры заблокированы

12 февраля 2024 года Министерство здравоохранения Румынии сообщило о том, что более 100 медицинских учреждений страны пострадали из-за атаки программы-вымогателя. Компьютеры больниц оказались заблокированы, а файлы и базы данных зашифрованы, из-за чего воспользоваться ими невозможно. Подробнее здесь.

2023

Число атак вирусов-вымогателей за год выросло на 73%. Они охватили рекордные 117 стран

В конце сентября 2024 года стало известно, что в 2023 году было зафиксировано более 6500 кибератак с использованием программ-вымогателей. Общее число атак вирусов-вымогателей за год выросло на 73%, охватив рекордные 117 стран по всему миру после кратковременного спада кибератак в 2022 году. Особенно заметные всплески наблюдались в июне и июле из-за использования популярного инструмента передачи файлов.

Целевая группа по борьбе с программами-вымогателями, занимавшаяся отчетом, представляет собой государственно-частный консорциум, состоящий из экспертов по кибербезопасности, государственных служащих и других лиц. В своем годовом отчете за 2023 год организация использовала данные сайта eCrime.ch, который в качестве основного источника информации собирает сообщения, размещенные на сайтах утечки данных.

Число атак вирусов-вымогателей за год выросло на 73%, охватив рекордные 117 стран

Целевая группа обнаружила, что вирусы-вымогатели были запущены в 117 странах 66 различными группами. В 2022 году цифры были немного ниже: 105 стран пострадали от действий 58 группировок. Данные за 2023 год показали особенный рост активности в Южной Азии и Южной Америке — двух регионах, которые стремительно движутся в сторону цифровизации. Наибольший рост наблюдался в Иране, Пакистане, Бразилии и Индии, при этом в Бразилии были зарегистрированы кибератаки на офис президента, а в Индии инциденты затронули больницы и финансовые системы.

Основная часть кибератак была связана с именами LockBit и AlphV, двух группировок, продающих вирусы-вымогатели как услугу, которые были обезврежены правоохранительными органами в 2024 году. В первую очередь эти группировки атаковали объекты строительной отрасли, а также систему здравоохранения и ИТ-коммуникации.

В отчете отмечено, что правительства и частные компании до сих пор не следуют половине рекомендаций, данных целевой группой в отчете о вирусах-вымогателях в 2021 году.[4]

Число атак вирусов-вымогателей в мире за год взлетело на 67%

В 2023 году в глобальном масштабе зарегистрированы более 5000 жертв программ-вымогателей. Это на 67% больше по сравнению с показателем за предыдущий год, когда было зафиксировано приблизительно 3000 таких инцидентов. Соответствующие данные приводятся в исследовании NTT Security Holdings, результаты которого обнародованы в конце апреля 2024-го.

В отчете сказано, что наибольшему риску подвергаются объекты критической инфраструктуры, цепочки поставок и сектор финансовых услуг. Нарушение работы ИТ-систем таких предприятий может повлечь за собой крайне негативные последствия, а поэтому велика вероятность выплаты выкупа, на что и рассчитывают киберпреступники. В 2023 году группировки вымогателей наиболее часто атаковали производственный сектор, на который пришлось 25,66% жертв.

Зарегистрированы более 5000 жертв программ-вымогателей

Отмечается, что малые и средние предприятия сталкиваются с наибольшей вероятностью внедрения шифровальщиков. По данным исследования, более 50% жертв программ-вымогателей в 2023 году насчитывали в своем штате менее 200 сотрудников, а 66% — менее 500 человек.

Злоумышленники продолжают эксплуатировать уже известные уязвимости и дыры нулевого дня в наиболее распространенном программном обеспечении. При этом возможности зловредов быстро развиваются, чему способствует появление инструментов на базе генеративного искусственного интеллекта. Авторы отчета подчеркивают, что люди остаются самым слабым звеном в кибербезопасности, и ситуация становится все хуже. Гибридные облачные среды, использование сотрудниками собственных устройств и интеграция сервисов сторонних производителей расширяют для злоумышленников возможности в плане проведения атак. Ситуация ухудшается тем, что многие организации в сложившейся макроэкономической обстановке вынуждены сокращать бюджеты на обеспечение информационной безопасности.[5]

Выкупы хакерам-вымогателям в мире за год достигли рекордных $1 млрд

Выкупы хакерам-вымогателям в мире за 2023 год достигли рекордных $1 млрд. Об этом свидетельствуют данные ИБ-компании Positive Technologies, опубликованные в конце апреля 2024 года.

Эксперты привели пример с компанией Caesars Entertainment (один из крупнейших в мире представителей гостиничного и развлекательного бизнеса): она заплатила выкуп в $15 млн вымогателям, которые угрожали опубликовать украденные данные клиентов из программы лояльности.

По словам аналитиков Positive Technologies, в 2023 году хакеры переключились с простого шифрования на угрозу публикации украденных данных. Тенденция появилась на фоне того, как компании начали внедрять более комплексные меры защиты, — с точки зрения злоумышленников, это делает атаки шифровальщиков менее эффективными. Кроме того, отказ от шифрования и переход к вымогательству через угрозу публикации украденных данных может быть обусловлен выпуском специалистами по безопасности различных дешифраторов, считает руководитель исследовательской группы Positive Technologies Ирина Зиновкина.

Согласно исследованию, больше всего от атак вымогателей в 2023 году пострадали медицинские организации (18% всех инцидентов пришлось именно на медицинскую отрасль), что привело к закрытию некоторых учреждений, перенаправлению карет скорой помощи в другие больницы и задержке в предоставлении медицинских услуг. Кроме того, в 2023 году вирусы-вымогатели часто атаковали организации из сферы науки и образования (14% от общего количества нападений шифровальщиков), государственные учреждения (12%) и промышленные организации (12%). Почти все шифровальщики в 2023 году распространялось с помощью электронной почты и путем компрометации компьютеров и серверов.

Хакеры увеличили на 20% требования к выкупу при атаках вирусов-вымогателей до $600 тыс.

В 2023 году средняя сумма первоначального выкупа, которую злоумышленники требовали при внедрении программ-вымогателей в ИТ-инфраструктуру жертвы, составила $600 тыс. Это на 20% больше по сравнению с предыдущим годом, когда данный показатель находился на отметке $500 тыс. Такие данные приводятся в отчете компании Arctic Wolf Networks, опубликованном 20 февраля 2024 года.

Отмечается, что размер выкупа варьируется в зависимости от сферы деятельности атакуемой организации. Так, в юридической, государственной, розничной и энергетической отраслях киберпреступники в 2023-м требовали в среднем $1 млн или больше. Специалисты Arctic Wolf Networks говорят о том, что тенденция роста суммы выкупа среди группировок-вымогателей сохраняется. Связано это с новыми инициативами по борьбе с киберпреступностью и с растущим количеством отказов жертв от перечисления запрашиваемых денег.

Средняя сумма первоначального выкупа, которую злоумышленники требовали при внедрении программ-вымогателей в ИТ-инфраструктуру жертвы, составила $600 тыс

«
Атак программ-вымогателей остерегаются организации и большого, и маленького размера, и на это есть веские причины: нанесенный такими вирусами урон приводит к огромным потерям, не считая собственно выкупа, — говорят специалисты Arctic Wolf Networks.
»

В исследовании также отмечается, что в 2023 году киберпреступники активно эксплуатировали уязвимости, выявленные в 2022-м и раньше. Такие дыры были задействованы почти в 60% инцидентов. При этом только 12% кибератак были связаны с уязвимостями нулевого дня. В 2023 году хакеры часто проводили нападения, связанные с компрометацией деловой электронной почты: количество таких инцидентов оказалось приблизительно в 10 раз больше по сравнению с числом атак программ-вымогателей. В целом, объем киберинцидентов продолжает расти с каждым годом. Злоумышленники берут на вооружение новые тактики, основанные на применении генеративного искусственного интеллекта.[6]

Платежи жертв вирусов-вымогателей в мире достигли рекордных $1,1 млрд

В 2023 году суммарный объем платежей жертв вирусов-вымогателей в глобальном масштабе составил $1,1 млрд, что является новым рекордом. Для сравнения, в 2022-м эта цифра оценивалась в $567 млн. Таким образом, зафиксирован двукратный рост в годовом исчислении, о чем говорится в исследовании аналитической компании Chainalysis, результаты которого опубликованы 7 февраля 2024 года.

В отчете отмечается, что доход операторов программ-шифровальщиков в виде выкупов устойчиво рос в разгар пандемии COVID-19. В частности, в 2019 году он составлял около $220 млн, а в 2020-м достиг $905 млн. В 2021 году злоумышленники получили от своих жертв $983 млн. Но в 2022-м произошел резкий спад. Эксперты связывают это со сложившейся геополитической обстановкой: конфликт не только нарушил деятельность некоторых киберпреступных группировок, но и сместил их акцент с финансовой выгоды на политически мотивированные кибератаки, направленные на шпионаж и разрушение ИТ-инфраструктуры. Но уже в 2023 году операторы вирусов-вымогателей вернулись к привычной деятельности, и объем платежей жертв снова начал расти.

В 2023 году суммарный объем платежей жертв вирусов-вымогателей в глобальном масштабе составил $1,1 млрд

В исследовании говорится, что в 2023 году в сегменте программ-шифровальщиков произошел значительный рост частоты, масштабов и объемов атак. Такие киберкампании осуществлялись самыми разными хакерскими сообществами — от крупных синдикатов до небольших групп и отдельных лиц. Кроме того, злоумышленники внедряют новые тактики, в частности, схему охоты на так называемую «крупную дичь». Она позволяет совершать меньше атак, получая при этом более крупные выкупы от больших корпораций и организаций.

В 2023 году среди крупнейших жертв вирусов-вымогателей оказались нефтегазовая компания Shell, правительственное организации США, авиакомпания British Airways и др. Все большую долю в общем объеме платежей составляют выкупы на сумму $1 млн и выше.[7]

Число вирусов-шифровальщиков за год выросло на 20%

Количество атак вирусов-шифровальщиков выросло на 20% в 2023 году. Такой информацией с TAdviser поделились представители ИТ-компании «Киберпротект» 2 февраля 2024 года. Согласно данным компании, в лидерах оказались США, Канада, Великобритания, Австралия и Россия. Эксперты «Киберпротект» подсчитали, как часто за последний год происходили крупные и публичные потери информации из-за атак хакеров-вымогателей, какие отрасли пострадали больше всего и какой была сумма выкупа в среднем.

По данным за 2023 год сообщалось о 150 крупных таких атак, что на 30 атак больше, чем годом ранее. При этом доля России выросла с 1 до 4 процентов. По темпам роста нашу страну опережает только США — количество известных атак там выросло на 17% за период с 2022 по 2023.

Чаще всего в 2023 году сообщали об атаках на госсектор (24 нападения), причем такая динамика сохраняется второй год подряд. В 2022 году в СМИ фигурировали 22 крупных нападения на правительственные учреждения. ИТ-компании также находятся в топе самых атакуемых жертв, однако в 2023 году динамика положительная. Количество нападений сократилось на 30 процентов — 18 атак в 2023 против 24 нападений в 2022. Также риску атак хакеров подвержены и учреждения социальной сферы — университеты, больницы и школы. В 2023 году их атаковали на 30% чаще, чем в 2022.

Бессменные группировки-лидеры в 2022 и 2023 — группировки Lockbit и Conti. Западные власти и компьютерные эксперты связывают их с выходцами из России и стран постсоветского пространства, но точных подтверждений этому нет.

В топ-3 по активности после Lockbit и Conti в 2022 году входила предположительно российская группировка Hive, которая за время существования получила более $100 млн от своих жертв в качестве выкупов. Несмотря на активность в 2022 (10 крупных атак), в 2023 году совместными усилиями властей США и ЕС группировку удалось ликвидировать. Но «свято место — пусто не бывает»: в прошлом году ее место заняла BlackCat (AlphaV), совершив 9 крупных кибератак и став героем новостей 6 раз.

Самый крупный выкуп, который фигурировал в медиа в 2023 году, внесла американская сеть казино Caesars Entertainment — $15.000.000 (половину от того, что требовали хакеры). Злоумышленники украли базу данных программы лояльности компании, которая также содержала данные водительских прав и номера социального страхования клиентов.

Средний чек за выкуп, в свою очередь, составлял от $250.000 до $10.000.000. Однако 2022 год в финансовом плане для хакеров был успешнее: самый крупный разовый платеж от жертвы составил $60.000.000. Его киберпреступники потребовали за расшифровку файлов крупного автомобильного дилера Великобритании Pendragon.

Выполнение требований хакеров обычно ничего не гарантирует. После внесения выкупа данные могут и не расшифровать, также их могут слить в интернет или передать компаниям-конкурентам. Кроме того, по нашим наблюдениям участились случаи повторных атак на компанию. Злоумышленники остаются в системе бизнеса и шифруют данные снова, спустя время.

«
Единственный эффективный метод защиты данных от последствий атаки вирусов-вымогателей — это резервное копирование — базовый элемент киберустойчивости любой организации. Практика показывает, что далеко не все компании используют его системно и часто приходят к внедрению полноценного резервного копирования уже после того, как впервые столкнулись с инцидентом и потеряли ценные данные, понесли материальные и репутационные потери. Особенно остро эта проблема стоит в сегменте малого и среднего бизнеса, где бюджеты на защиту информационных систем ограничены, но при этом потеря данных может привести не просто к ущербу, но и к потере всего бизнеса, — сказала Елена Бочерова, исполнительный директор компании «Киберпротект». — Инциденты с такими компаниями редко становятся публичными, статистика обозначает проблему, которая стоит еще более остро.
»

40 стран во главе с США договорились никогда не платить выкуп хакерам

В конце октября 2023 года 40 стран во главе с США заявили сообщили о подписании документа, закрепляющего их обещание никогда не платить выкуп хакерам, а также работать над уничтожением экономической основы существования киберпреступников.

Данный альянс получил название The International Counter Ransomware Initiative. Его появление не случайно, так как число хакерских атак с требованием выкупа продолжает расти каждый год. В 2023 году 46% таких кибератак пришлось на США. Объем выплат кибервымогателям только за первую половину 2023 года достиг половины миллиарда долларов.

The International Counter Ransomware Initiative планирует работать над уничтожением экономической основы существования хакеров

Хакеры взламывают защиту жертвы, шифруют файлы и потом требуют выкуп за восстановление доступа к ним. Зачастую похищаются личные приватные данные, которые при отсутствии оплаты утекают в интернет.

Жертвами становятся не только обычные пользователи интернета, но и крупные компании – так, за осень 2023 года от атак вымогателей пострадали оператор казино MGM Resorts International и создатель средств бытовой химии Clorox.

«
Пока люди перечисляют деньги вымогателям, эта проблема продолжит расти - заявила Анна Нойбергер, советник президента США по вопросам национальной безопасности со специальностью в кибертехнологиях.
»

Участники альянса планируют обмениваться между собой информацией о каналах, которыми пользуются вымогатели для получения и вывода денег. Планируется создать две платформы для обмена информацией, их созданием займутся Литва, Израиль и ОАЭ. Кроме этого, страны создадут «черный список» цифровых кошельков, которые используются для вывода денег, полученных путем вымогательства. Для анализа цепочек блокчейна планируется привлечь искусственный интеллект.[8]

Как начинаются атаки вирусов-вымогателей на компании. 3 самых популярных сценария

В мае 2023 года «Лаборатория Касперского» опубликовала исследование, в рамках которого назвала самые распространённые векторы атак программ-вымогателей. По данным антивирусной компании, 43% атак шифровальщиков в мире в 2022 году начиналось с эксплуатации уязвимостей в общедоступных приложениях. Почти в каждом четвёртом случае (24%) атаки программ-вымогателей начинались с использования ранее скомпрометированных аккаунтов пользователей, а в 12% - с вредоносных писем.

Эксперты отмечают, что в ряде случаев целью атакующих было не шифрование данных, а получение доступа к личной информации пользователей, интеллектуальной собственности и другим конфиденциальным данным организаций.

В ходе расследования инцидентов с применением программ-шифровальщиков эксперты компании обнаружили, что в большинстве случаев злоумышленники находились в сети клиента некоторое время после проникновения. Атакующие зачастую используют PowerShell для сбора данных, Mimikatz для повышения привилегий и PsExec для удалённого выполнения команд или фреймворки типа Cobalt Strike для проведения всех этапов атаки.

«
Скомпрометированные учётные данные пользователей, уязвимости в ПО и методы социальной инженерии в большинстве случаев позволяют злоумышленникам проникать в корпоративную инфраструктуру и производить вредоносные действия, в том числе и атаки посредством программ-шифровальщиков. Чтобы минимизировать эти риски, важно, чтобы компании вводили и контролировали политику надёжных паролей, регулярно обновляли корпоративное ПО, а также обучали сотрудников основам информационной безопасности, - отметил руководитель глобальной команды реагирования на компьютерные инциденты «Лаборатории Касперского» Константин Сапронов.
»

Природа информационной безопасности - исследование Лаборатории Касперского за 2022 г.

У крупнейшего ИТ-вуза Ирландии украли 6 Гбайт данных сотрудников, в том числе зарплатных. Занятия отменены

В начале февраля 2023 года Мюнстерский технологический университет в Ирландии подвергся профессионально организованной кибератаке с помощью вируса-вымогателя. Всего хакеры украли 6 ГБ конфиденциальных данных, включая коммерческую информацию. Подробнее здесь.

Вирус-вымогатель заблокировал компьютеры крупнейшего израильского ИТ-вуза

В феврале 2023 года хакеры атаковали израильский технологический институт Технион, требуя $1,7 млн. Злоумышленники потребовали 80 биткойнов и пригрозили увеличить сумму на 30%, если выкуп не будет выплачен в течение 48 часов. Подробнее Технион – Израильский технологический институтздесь.

2 года хакеры используют дыру в ПО VMware для успешных атак вирусов-вымогателей

В начале февраля 2023 года французская группа реагирования на компьютерные чрезвычайные ситуации (CERT-FR) предупредила о распространении новой программы-вымогателя, получившей название ESXiArgs. Она проникает в системы жертв через дыру в серверном программном обеспечении VMware. Подробнее здесь.

Вирусы-вымогатели атаковали десятки ГИС в Италии и отключили их

5 февраля 2023 года Национальное агентство по кибербезопасности Италии (ACN) предупредило о широкомасштабной кампании по распространению программ-вымогателей. Зловреды атакуют тысячи серверов в Европе и Северной Америке.

Сообщается, что взлом затронул несколько десятков национальных информационных систем в Италии. На многих атакованных серверах повреждены средства обеспечения безопасности. Пострадали также ресурсы в Финляндии, США, Канаде и во Франции. Согласно результатам предварительного расследования, атака нацелена на уязвимость в технологии VMware ESXi — специализированном гипервизоре. Патч для дыры, о которой идёт речь, был выпущен ещё в феврале 2021 года, однако до сих пор не все организации установили апдейт. Этим и пользуются киберпреступники, распространяющие вредоносную программу.

Вирусы-вымогатели атаковали десятки ГИС в Италии

По оценкам, по всему миру были скомпрометированы тысячи компьютерных серверов, и, по мнению аналитиков, их число, вероятно, возрастёт. Французское агентство по кибербезопасности (ANSSI) обнародовало предупреждение с рекомендацией как можно скорее загрузить обновление для VMware ESXi, устраняющее проблему. Некоторые из пострадавших ГИС оказались неработоспособны.

Высказывались предположения, что атаки могут быть связаны с госструктурами или недружественными странами. Однако специалисты, изучившие характер данной киберпреступной кампании, пришли к выводу, что она, скорее всего, организована некой хакерской группировкой с целью шантажа и вымогательства. О сумме, которую хотят получить злоумышленники от своих жертв, ничего не сообщается.

«
Нет никаких свидетельств того, что эти кибератаки связаны с организациями, имеющими отношение к каким-либо государственным структурам или недружественно настроенным странам, — говорится в заявлении правительства Италии.[9]
»

2022

Европа оказалась лидером по числу атак вирусов-вымогателей

В 2022 году Европа вышла в лидеры по количеству атак вирусов-вымогателей. Такие данные приводятся в исследовании IBM, результаты которого были опубликованы 22 февраля 2023 года.

Киберпреступники нацелены прежде всего на наиболее критичные отрасли и предприятия. Внедрив программу-вымогателя в ИТ-инфраструктуру жертвы, злоумышленники используют сильное психологическое давление, чтобы добиться выплаты выкупа. Производство было самой атакуемой отраслью в 2022 году: организации данного сектора являются привлекательной мишенью для вымогательства, учитывая их крайне низкую устойчивость к простоям.

Чаще всего от вирусов-вымогателей страдает сфера производства

Злоумышленники развивают новые способы вымогательства денег у жертв. Одна из последних тактик заключается в том, чтобы максимизировать финансовый эффект от украденных данных. Вовлекая в схему клиентов и деловых партнёров, мошенники усиливают давление на взломанную организацию. Цель заключается в том, чтобы увеличить потенциальные затраты атакованной структуры.

«
Переход к обнаружению и активному реагированию позволил защитным средствам препятствовать действиям злоумышленников на более ранних этапах атак, что несколько сдерживало распространение программ-вымогателей. Однако злоумышленники постоянно ищут новые способы избежать обнаружения. Хорошей защиты уже недостаточно — компаниям необходимо внедрять упреждающую стратегию обеспечения безопасности, — отметил Чарльз Хендерсон (Charles Henderson), глава IBM Security X-Force.
»

В 2022 году энергетика занимала четвёртое место среди наиболее атакованных отраслей, поскольку сложившаяся макроэкономическая ситуация и кризис оказывают сильное влияние на мировую торговлю энергоресурсами. На энергетические организации Северной Америки приходилось 46% всех атак в данном секторе, что на 25% больше, чем в 2021 году.[10]

Почему хакеры-вымогатели начали просить на 28% меньше выкупа

21 февраля 2023 года обнародованы результаты исследования компании CrowdStrike, посвящённого изучению тенденций распространения программ-вымогателей. Сообщается, что в 2022-м средний размер выкупа, которые требовали злоумышленники, сократился на 28% по сравнению с предыдущим годом.

Как сообщает газета The Wall Street Journal, ссылаясь на данные CrowdStrike, в 2022 году киберпреступники, занимающиеся распространением шифровальщиков, хотели получить от своих жертв в среднем $4,1 млн. Для сравнения: годом ранее размер выкупа составлял в среднем $5,7 млн. Такая ситуация объясняется несколькими причинами. Это, в частности, аресты членов хакерских группировок, падение стоимости криптовалют и усиление мер по борьбе с киберпреступностью в целом. Отмечается, что некоторые группы сетевых злоумышленников даже вынуждены сокращать штат из-за падения прибыли. В частности, киберпреступная команда Conti в 2022-м уволила 45 сотрудников из-за ухудшения своего финансового положения.

В 2022-м средний размер выкупа, которые требовали злоумышленники, сократился на 28% по сравнению с предыдущим годом

В то же время американская компания Mandiant, специализирующаяся на вопросах кибербезопасности, сообщила о том, что в 2022-м число киберинцидентов, связанных с программами-вымогателями сократилось в годовом исчислении приблизительно на 15%.

При этом количество атак программ-вымогателей на промышленные организации в 2022 году увеличились на 87% по сравнению с предыдущим годом, причём такие зловреды нацелены прежде всего на производственный сектор. Так, хакеры атаковали горнодобывающие компании в Австралии и Новой Зеландии, а также компании, работающие с возобновляемыми источниками энергии, в США и Европейском союзе. Злоумышленники всё чаще фокусируют внимание на секторах энергетики, продовольствия, водоснабжения и добычи природного газа.[11]

Число атак вирусов-вымогателей на мировую промышленность за год удвоилось

В 2022 году количество атак вирусов-вымогателей на промышленную инфраструктуру удвоилось. Об этом говорится в исследовании, которое в феврале 2023 года обнародовала компания Dragos, специализирующася на технологиях кибербезопасности.

Компания Dragos отследила более 600 атак вирусов-вымогателей на промышленную инфраструктуру в 2022 году, что на 87% больше, чем в 2021 году, причем почти три четверти из них были направлены на производственный сектор. По словам специалистов, хакеры все больше нацеливаются на операционные технологии (ОТ) и промышленные системы управления (ICS), которые управляют основными функциями заводов и других промышленных объектов. По данным Dragos, среди 600 с лишним атак, отслеженных компанией, на 35% увеличилось число попыток использования вымогательского ПО против OT и ICS.

Распределение атак по секторам экономики

По данным Dragos, чаще всего хакеры нападали на ресурсы горнодобывающих компаний Австралии и Новой Зеландии в 2022 году, а также американские и европейские компании, специализирующиеся на возобновляемых источниках энергии. Усилились атаки на секторы энергетики, продовольствия, водоснабжения, электроснабжения и природного газа. Одного вируса-вымогателя, по мнению ИБ специалистов Dragos, достаточно, чтобы нарушить работу десятков систем, помогающих в управлении инженерными сетями по всему миру, говорится в докладе.

В общей сложности, 437 производственных предприятий в 2022 году подверглись атакам вирусов-вымогателей, включая 42 атаки на компании по производству металлических изделий, 37 - на автомобильные предприятия и более 20 - на предприятия по производству пластмасс, промышленного оборудования, строительных материалов и электроники или полупроводников. Остальная часть списка включает десятки атак на компании, работающие в аэрокосмической отрасли, производстве мебели, косметики, химикатов, одежды, медицинского оборудования, бумаги.

Распределение атак по индустриям

Среди крупных инцидентов, перечисленных Dragos, крупные атаки были на компании Subex, Kojima, AGCO, Foxconn, South Staffordshire Water, DESFA и несколько атак на горнодобывающие и металлургические производства, такие как Copper Mountain Mining. Несмотря на рост числа инцидентов, связанных с вирусами-вымогателями, в 2022 году их жертвы намного реже платили выкуп: $456,8 млн по сравнению с $765,5 млн в 2021 году.

В 2022 году, по информации Dragos, лидировала группировка LockBit, совершившая 169 атак с целью выкупа, за ней следовали Conti, затем Black Basta, Alpha V (или ALPHV) и Hive. Компания Dragos обнаружила, что из 57 хакерских групп, за которыми она следит, 39 были активны в 2022 году, что на 30% больше, чем в 2021 году.[12]

Объем выкупа после атак вирусов-вымогателей в мире сократился на $300 млн

19 января 2023 года компания Chainalysis обнародовала данные исследования, согласно которым доход злоумышленников, распространяющих программы-вымогатели, в мировом масштабе в 2022-м сократился приблизительно на $300 млн.

В 2019 году операторы шифровальщиков получили от своих жертв примерно $174 млн в качестве выкупа. В 2020-м эта сумма резко выросла, достигнув $765 млн. В 2021 году, по оценкам, внедрение зловредов-вымогателей принесло киберпреступникам $765,6 млн, а в 2022-м — примерно $456,8 млн. Таким образом, падение за год составило 40,3%. Такая ситуация, по мнению экспертов, связана прежде всего с растущим нежеланием жертв платить злоумышленникам, а не с уменьшением фактического количества атак.

«
Данные по претензиям в индустрии киберстрахования показывают, что программы-вымогатели остаются растущей киберугрозой для бизнеса и предприятий. Однако есть признаки того, что сбои в деятельности групп лиц, занимающихся такими зловредами, приводят к меньшему, чем ожидалось, количеству успешных попыток вымогательства, — говорит директор компании Resilience Майкл Филлипс (Michael Phillips).
»

На снижение интенсивности выплат указывают и другие специалисты. Так, Билл Сигел (Bill Siegel) из Coveware сообщил, что в 2019 году вероятность выплаты выкупа жертвой программы-вымогателя находилась на отметке 76%. В 2020-м это значение снизилось до 70%, а в 2021-м — до 50%. В 2022 году зафиксировано дальнейшее сокращение — до 41%. Одной из причин столь значительного падения является то, что выплата выкупа стала более рискованной с юридической точки зрения, особенно после того, как в сентябре 2021 года Управление по контролю над иностранными активами (OFAC), входящее в состав Министерства финансов США, опубликовало документ о возможном наложении гражданско-правовых санкций на компании и организации в связи с выполнением требований вымогателей.[13]

Названы самые распространенные вирусы-вымогатели

5 января 2023 года подразделение SpiderLabs компании TrustWave обнародовало рейтинг самых распространённых программ-вымогателей, атаковавших различные организации и пользователей по всему миру в 2022 году.

Отмечается, что зловреды, шифрующие файлы жертвы с целью дальнейшего получения выкупа, остаются серьёзной угрозой. В случае успешной атаки злоумышленники требуют в среднем от $570 тыс. до $812 тыс. Кроме того, жертва может нести значительные сопутствующие расходы, связанные с простоем бизнеса, привлечением экспертов в области информационной безопасности и пр. В среднем одна из каждых 40 организаций становится мишенью программ-вымогателей.

LockBit (вирус-вымогатель)

На первом месте антирейтинга располагается зловред LockBit. Этот вымогатель атакует самые разные структуры — от крупных корпораций до государственных учреждений. Сообщается, что в 2022 году на долю LockBit пришлось примерно 44% всех успешных кибервторжений с требованием выкупа. Обновлённая версия LockBit, выпущенная в июне 2022-го, включает дополнительные функции, которые помогают обходить защитные средства и уменьшают вероятность расшифровка данных экспертами по ИТ-безопасности.

Вторая позиция досталась относительно новой киберкампании Black Basta. Отмечается, что она может иметь связи с другими группировками, такими как Conti, REvil и Fin7 (также известна как Carbanak). С момента идентификации в апреле 2022-го по сентябрь того же года Black Basta скомпрометировала более 90 организаций.

Замыкает тройку Hive. Эта вредоносная программа выделяется на фоне других вымогателей подходом к выбору жертв. Зловред нападает на организации из сфер здравоохранения, энергетики и сельского хозяйства. Некоторые группы программ-вымогателей стараются не атаковать критически важную инфраструктуру или основные службы по моральным соображениям или для того, чтобы привлечь меньше внимания правоохранительных органов. С другой стороны, Hive готова атаковать любые секторы и ИТ-системы.[14]

Канадская меднорудная компания Copper Mountain Mining остановила заводы из-за атаки вируса-вымогателя

Канадская меднорудная компания Copper Mountain Mining остановила заводы из-за атаки вируса-вымогателя. Об этом она заявила 27 декабря 2022 года. Подробнее здесь.

Кибератака на порт Лиссабона, которая привела к отключению сайта

25 декабря 2022 года порт Лиссабон был атакован хакерами, в результате чего его сайт был отключен и не работал несколько дней. К 5 января 2023 года ресурс остается недоступным, в чем убедился журналист TAdviser. Подробнее здесь.

Министерство обороны Австралии подверглось кибератаке. Утекли данные десятков тысяч военнослужащих

31 октября 2022 года стало известно о том, что Министерство обороны Австралии подверглось хакерской атаке: злоумышленники внедрили в одну из информационных подсистем ведомства вредоносную программу с функциями вымогателя. Говорится, что в руках преступников могла оказаться персональная информация о десятках тысяч военнослужащих. Подробнее здесь.

Немецкий поставщик оружия для Украины подвергся кибератаке. Его данные украдены

30 октября 2022 года киберпреступная группировка, стоящая за распространением шифровальщика Snatch, сообщила о взломе и краже данных компании Hensoldt France, французского подразделения немецкой Hensoldt Group. Подробнее здесь.

Хакеры Ransom Cartel используют инструменты и исходный код шифровальщика REvil

19 октября 2022 года стало известно о подозрительной связи RaaS-группировки Ransom Cartel и REvil заявили исследователи из подразделения Unit 42 компании Palo Alto Networks. Согласно их отчету, Ransom Cartel начала свою деятельность всего через два месяца после развала REvil.

По словам специалистов Unit 42, когда Ransom Cartel только появилась, было неясно чем она является – REvil под другим названием или никак не связанной с REvil группировкой, которая просто подражает печально известной банде хакеров.

Но когда Ransom Cartel начала использовать определенный набор инструментов, все начало вставать на свои места. Эксперты рассказали, что группировка использует не только популярные среди вымогателей тактики, но и необычные инструменты (например, DonPAPI, который ранее не применялся в атаках вымогателей).

Исследователи отмечают, что у операторов Ransom Cartel есть доступ к исходному коду шифровальщика REvil, но они не имеют в своем арсенале механизм обфускации, который используется для шифрования строк и скрытия вызовов API.

Опираясь на все вышесказанное, специалисты сделали вывод, что Ransom Cartel активно сотрудничала с REvil до того, как стала полноценной группировкой.

В заключении отчета Unit 42 предупреждает о возможном росте атак с использованием [зловред|вредоносов]] от Ransom Cartel и призывает большие компании установить специальное защитное ПО, так как группировка нацелена именно на "крупную добычу"[15].

Центр анализа угроз Microsoft заявил о кибератаке на транспортные фирмы Украины и Польши

11 октября 2022 года транспортные и логистические компании Польши и Украины подверглись атаке нового вируса-вымогателя Prestige. Об этом заявили в Центре анализа угроз Microsoft (MSTIC).

«
Центр анализа угроз Microsoft (MSTIC) выявил доказательства новой кампании, связанной с программой-вымогателем, целями которой являются организации в сфере транспорта и смежных логистических отраслях на Украине и в Польше, - указано в сообщении компании Microsoft.
»

Программа Prestige шифрует данные жертвы и оставляет записку с требованием выкупа, в которой говорится, что данные можно разблокировать только при покупке специального инструмента для расшифровки.

Корпорация Microsoft ранее не сталкивалась с такой программой и пока не смогла выявить причастность к атаке известных кибергрупп[16].

Обнаружены кибергруппы вымогателей, способные атаковать разные операционные системы одновременно

«Лаборатория Касперского» сообщила 25 августа 2022 года об обнаружении двух кибергрупп вымогателей. Они могут атаковать разные операционные системы одновременно без обращения к мультиплатформенным языкам. Ранее в 2022 году эксперты «Лаборатории Касперского» рассказали, как создатели программ-вымогателей развивают их кросс-платформенные возможности. Однако на этот раз речь идёт о ПО, которое написано на простых языках, но также может атаковать разные системы.

Иллюстрация:securelist.com

Первая из данных групп использует зловред RedAlert, написанный на языке C. Вторая, обнаруженная в июле 2022 года, — зловред Monster, написанный на Delphi. Отличительная черта Monster — графический пользовательский интерфейс. Такой компонент никогда не внедрялся вымогателями раньше. Авторы Monster включили его в качестве дополнительного параметра командной строки.

Также злоумышленники используют для атак программ-вымогателей на Windows версий от 7 до 11 эксплойты первого дня. Это программы, которые эксплуатируют уязвимости в программных продуктах, для которых уже были выпущены патчи. Один из примеров — уязвимость CVE-2022-24521. Она позволяет получать привилегии в системе на заражённом устройстве. Через две недели после создания патча для этой бреши атакующие разработали два других эксплойта, которые поддерживают разные версии Windows.

«
Компания уже привыкла к тому, что авторы программ-вымогателей стали создавать их с помощью кросс-платформенных языков. Однако в 2022 году они научились писать вредоносный код для атак на разные операционные системы ещё и на простых языках программирования. Актулальные тренды развития индустрии шифровальщиков требуют от компаний повышенного внимания к тому, приняты ли эффективные меры для обнаружения и предотвращения таких атак. Кроме того, очень важно регулярного обновлять всё ПО,
прокомментировал Сергей Ложкин, эксперт по кибербезопасности «Лаборатории Касперского».
»

Чтобы защитить бизнес от атак программ-вымогателей, «Лаборатория Касперского» напоминает компаниям о необходимости соблюдать следующие меры:

  • не допускать возможность подключения к службам удалённого рабочего стола (таким как RDP) из общественных сетей без строгой необходимости; настроить политики безопасности таким образом, чтобы использовать надёжные пароли для этих служб;
  • своевременно устанавливать доступные патчи для используемых в сети коммерческих VPN-решений;
  • регулярно обновлять ПО на всех используемых устройствах;
  • сосредотачивать стратегию защиты на обнаружении перемещений по сети и передаче данных в интернет; обращать особое внимание на исходящий трафик, чтобы выявлять коммуникации злоумышленников;
  • регулярно делать резервные копии данных и проверять, что в случае необходимости можно быстро получить к ним доступ;
  • использовать комплексные решения для защиты всей инфраструктуры от кибератак любой сложности;
  • проводить обучение сотрудников правилам кибербезопасности;
  • использовать надёжное защитное решение. В нём есть функции предотвращения эксплойтов, модуль поведенческого детектирования и движок для отката вредоносных действий. Также в решении есть механизмы самозащиты, которые позволяют предотвратить его удаление злоумышленниками;
  • предоставлять специалистам SOC-центра доступ к самым свежим данным об угрозах.

Греческий оператор газотранспортной системы атакован вирусом-вымогателем. ИТ-системы отключены

В конце августа 2022 года стало известно о том, что оператор греческой национальной газотранспортной системы DESFA атакован вирусом-вымогателем. ИТ-системы компании оказались отключены. Оператор управляет как системой транспортировки природного газа в стране, так и газораспределительными сетями. Подробнее здесь.

Закрытие магазинов 7-Eleven в Дании из-за атаки вируса-вымогателя

В начале августа 2022 года 7-Eleven в Дании была вынуждена закрыть 175 магазинов. Как сообщили представители торговой сети, это произошло из-за атаки вируса-вымогателя. Подробнее здесь.

Хакеры украли 78 Гбайт данных итальянской налоговой

25 июля 2022 года стало известно, что группа хакеров смогла выкрасть при помощи программы-вымогателя данные из итальянской налоговой. Группировка утверждает, что украла 78 Гб данных, включая документы компании, сканы, финансовые отчеты и контракты, она планирует опубликовать скриншоты файлов и образцы в течение августа 2022 года. Подробнее здесь.

Вымогательское ПО HavanaCrypt маскируется под обновление Google

Исследователи из Trend Micro обнаружили пакет программ-вымогателей HavanaCrypt, который распространяется как поддельное обновление ПО Google и использует возможности Microsoft как часть своей атаки. Об этом стало известно 12 июля 2022 года. Вредоносное ПО использует open source обфускатор Obfuscar, предназначенный для защиты кода в сборке .NET. Для избежания обнаружения после запуска программа-вымогатель скрывает свое окно с помощью функции ShowWindow, присваивая ей параметр «0».

«
Вредоносная программа также использует несколько методов защиты от виртуализации, которые помогают избежать динамического анализа при выполнении на виртуальной машине, — пишут исследователи.
»

По словам специалистов, вредоносное ПО может завершить свою работу, если обнаружит, что система работает в виртуальной среде. HavanaCrypt проверяет виртуальную машину в 4 этапа:

  • проверяет службы в виртуальной машине (VMware Tools и vmmouse);
  • ищет файлы, связанные с приложениями ВМ;
  • ищет имена файлов, используемых ВМ для их исполняемых файлов;
  • просматривает MAC-адрес системы и сравнивает его с префиксами уникального идентификатора организации (Organizationally Unique Identifier, OUI), используемыми ВМ.

Убедившись, что система жертвы не работает на виртуальной машине, HavanaCrypt загружает файл с IP-адреса службы веб-хостинга Microsoft, сохраняет его как пакетный файл и запускает. По словам специалистов Trend Micro, использование C2 сервера, входящего в состав службы веб-хостинга Microsoft, является новым методом атаки.

Вредоносная программа прерывает более 80%, включая приложения баз данных, таких как Microsoft SQL Server и MySQL, а также настольных программ, таких как Office и Steam. Затем он удаляет теневые копии файлов.

Затем HavanaCrypt помещает свои исполняемые копии в папки «ProgramData» и «StartUp», делает их скрытыми системными файлами и отключает диспетчер задач. Вредоносное ПО также использует функцию QueueUserWorkItem в .NET, чтобы объединить угрозы для других полезных нагрузок и потоков шифрования.

HavanaCrypt собирает следующую информацию о системе:

Данные отправляются на C2 сервер злоумышленника, который является IP-адресом службы веб-хостинга Microsoft. Это позволяет избежать обнаружения. Для генерации случайных ключей HavanaCrypt использует функцию CryptoRandom в менеджере паролей KeePass Password Safe, добавляя расширение «.Havana» ​​к зашифрованным файлам.

«
HavanaCrypt также шифрует текстовый файл «foo.txt» и не оставляет записку с требованием выкупа. Это может указывать на то, что HavanaCrypt все еще находится в стадии разработки, - заключили исследователи[17].
»

Шифровальщик Hive окончательно перешел на Rust и стал опаснее

WIndows-версия вредоноса получила «апгрейд», который усложнил шифрование и сделал Hive еще быстрее и надежнее. Об этом стало известно 8 июля 2022 года.

В своем недавнем отчете специалисты из Microsoft Threat Intelligence Center назвали Hive одним из самых быстро развивающихся семейств вымогательского ПО. В последнем обновлении разработчики Hive полностью изменили инфраструктуру шифровальщика. Самыми главными изменениями стал переход с GoLang на Rust и усложнение методов шифрования.

Источник иллюстрации: securitylab.ru

Перейдя на Rust, вредонос получил несколько преимуществ:

  • Безопасность по памяти, типам данных и потокам;
  • Многопоточность;
  • Устойчивость к реверс-инжинирингу;
  • Полный контроль над низкоуровневыми ресурсами;
  • Широкий выбор криптографических библиотек.

Кроме этого, разработчики добавили Hive парочку `полезных` фич. Теперь вымогательское ПО использует функции, завершающие службы и процессы, связанные с решениями безопасности, а также способен построчно шифровать свой код, в качестве меры противодействия анализу.

Метод шифрования у обновленного Hive стал намного интереснее. Вместо того, чтобы встраивать зашифрованный ключ в каждый шифруемый файл, вредонос генерирует в памяти два набора ключей, использует их, после чего записывает с расширением .key в корневой каталог диска.

Чтобы определить, какой из двух ключей используется для блокировки конкретного файла, зашифрованный файл переименовывается – к нему добавляется имя .key-файла, знак подчеркивания и строка в кодировке Base64, указывающая на два разных блока данных в key-файле. Итоговый результат может выглядеть вот так: C:\myphoto.jpg.l0Zn68cb _ -B82BhIaGhI8.

Апгрейд Hive, окончание вымогательской деятельности AstraLocker и появление RedAlert – все это говорит о том, что ландшафт киберугроз постоянно меняется и ИБ-специалистам нужно оставаться начеку.

Один хакер может причинить столько же вреда, сколько 10 000 солдат[18].

Зарплаты, отпуска, система мотивация и отдел кадров. Как работает одна из крупнейших в мире хакерских группировок-вымогателей

23 июня 2022 года в российской компании Group-IB, специализирующейся на обеспечении информационной безопасности, рассказали о деятельности хакерской группировки Conti, которая занимается распространением вирусов-вымогателей. Подробнее здесь.

Вымогательское ПО Magniber угрожает миллионам пользователей Windows 11

30 мая 2022 года стало известно, что аналитики 360 Security Center обнаружили очередную версию вымогательского ПО Magniber, нацеленную на системы под управлением Windows 11. По словам специалистов, 25 мая объем атак с использованием Magniber значительно возрос. Подробнее здесь.

Вымогатели Goodwill требуют от жертв совершить три добрых поступка

23 мая 2022 года стало известно, что в среде кибервымогателей, похоже, появился свой «Робин Гуд». Как сообщают специалисты компании CloudSEK, вымогательское ПО атакует жертв и вместо выкупа требует сделать пожертвование на благотворительность.

Вымогательская программа Goodwill Ransomware требует у своих жертв перевести деньги организациям, которые помогают неимущим. На конец мая 2022 года Goodwill Ransomware атакует жертв только в Индии, Пакистане и некоторых регионах Африки.

Исследователи CloudSEK обнаружили данную кибервымогательскую группировку в марте 2022 года. Похоже, ее мало интересует финансовая выгода, а главной целью является восстановление социальной справедливости.

Для того чтобы получить ключ для восстановления зашифрованных файлов, жертва должна выполнить три задания. Первое задание - перевести деньги нуждающимся в больницах, кому требуется срочное лечение. Жертва должна перевести средства, зафиксировать весь процесс передачи денег и дальнейшее лечение больного и переслать эти видео- и аудиофайлы вымогателям.

Второе задание - передать бедным одежду. Как и в первом случае, факт передачи должен быть зафиксирован, а материалы отправлены хакерам по электронной почте.

Третье задание - жертва должна сводить голодных детей в пиццерию Dominos Pizza Hut или KFC и оплатить их заказ. Все должно быть зафиксировано и отправлено хакерам.

Кроме того, жертва должна сделать публикацию в соцсети (Facebook (признана экстремистской организацией и запрещена в России) или Instagram (признана экстремистской организацией и запрещена в России)) о том, как «став жертвой вымогательского ПО Goodwill, она стала добрым человеком».

Проверив публикации и присланные жертвой доказательства выполнения всех трех заданий, вымогатели отправляют ей ключ для восстановления файлов, пароль и видеоинструкцию по расшифровке.

С апреля 2022 года группировкой интересуются правоохранительные органы Индии. Согласно их версии, Goodwill - незначительная группа хакеров из КНДР.[19]

Средний запрашиваемый выкуп операторов шифровальщиков достиг $247 000

Компания Group-IB 19 мая 2022 года поделилась отчетом, посвященным одной из опасных угроз для бизнеса и госсектора во всем мире – шифровальщикам. В данном отчете «Программы-вымогатели 2021-2022» названы самые агрессивные операторы шифровальщиков, совершившие наибольшее число кибератак в мире: это группы LockBit, Conti и Pysa. Запрашиваемые злоумышленниками суммы выкупа достигли огромных величин: средний размер требуемого выкупа составил $247 000. В России количество реагирований Лаборатории цифровой криминалистики Group-IB на атаки программ-вымогателей в первом квартале 2022 года выросло в 4 раза по сравнению с аналогичным периодом 2021 года.

Исследовав более 700 атак в 2021 году, эксперты Group-IB, выяснили, что основные цели вымогателей по-прежнему приходятся на Северную Америку, Европу, Латинскую Америку, Азиатско-Тихоокеанский регион. Среди нашумевших инцидентов 2021 года с участием шифровальщиков можно отметить нападения на концерн Toshiba, американскую трубопроводную систему Colonial Pipeline, крупнейшего производителя мяса JBS Foods, и ИТ-гиганта Kaseya. Рекорд по жадности поставили вымогатели из Hive: они потребовали от немецкого холдинга MediaMarkt выкуп в $240 млн. Среднее время простоя атакованной компании в 2021 году увеличилось с 18 дней до 22 дней.

В 2021 году количество атак программ-вымогателей на российские компании увеличилось более чем на 200%. Наиболее активными в России оказались операторы шифровальщиков Dharma, Crylock, Thanos. А вот русскоязычная группа OldGremlin хотя в 2021 году заметно снизила свою активность — хакеры провели всего одну массовую рассылку (для сравнения: в 2020 году их было 10), однако атака оказалась настолько успешной, что кормила `гремлинов` весь год. Например, у одной из жертв вымогатели потребовали за расшифровку данных рекордную для России сумму — 250 млн рублей.

В последнее время шифровальщики нацелены в России исключительно на крупный бизнес — от 5000 сотрудников — из отраслей строительства, страхования, агропромышленного комплекса.

Последней тенденцией, согласно исследованию «Программы-вымогатели 2021-2022», стал отход на второй план шифрования, как инструмента давления на жертву. Теперь у компаний-жертв вымогают средства, угрожая выложить их конфиденциальные данные в публичный доступ на так называемые DLS (Dedicated Leak Site). В 2021 году этим методом пользовалось подавляющее большинство шифровальщиков — 63%.

Как отмечала Group-IB в отчете Hi-Tech Crime Trends H2 2020/ H1 2021, использование вымогателями DLS для давления на жертву, чтобы заставить ее заплатить выкуп под угрозой обнародования похищенных данных в публичном доступе, достигло пика именно в 2021 году. Число новых DLS выросло более, чем вдвое — с 13 до 28, при этом количество выложенных данных компаний за год увеличилось на беспрецедентные 935% — с 229 жертв до 2 371. При этом атакующие стали гораздо быстрее добиваться своих целей: если раньше среднее время нахождения шифровальщиков в сети жертвы составляло 13 дней, то в 2021 году оно сократилось до 9.

Еще одной тенденций 2021 года стал «ребрендинг»: группы вымогателей сменили названия. Этим «маркетинговым» инструментом операторы шифровальщиков стали пользоваться в ответ на повышенное внимание к ним со стороны исследователей и правоохранительных органов. После того как DarkSide и REvil исчезли из публичного пространства, на сцене появился игрок – BlackMatter, затем его сменил BlackCat. Чуть ранее, весной группа DoppelPaymer переименовала свои программы-вымогатели в Grief (Pay OR Grief).

Как и в 2020 году, самым частым способом получения первоначального доступа в сети компаний стала компрометация публичных RDP-серверов. На этот вектор атаки приходится почти половина (47%) всех исследованных инцидентов — многие из сотрудников по-прежнему работали на удаленке. На втором месте — фишинг (26%), на третьем — эксплуатация общедоступных приложений (21%).

В 2021 году некоторые операторы шифровальщиков стали «работать» через 0-day (англ. zero day) — неустранённые или еще не выявленные уязвимости, которые используют атакующие. Так, партнеры REvil атаковали тысячи клиентов Kaseya, эксплуатируя уязвимости 0-day в серверах VSA. Другой пример — группировка FIN11, стоящая за шифровальщиком Clop эксплуатировала ряд уязвимостей нулевого дня в устаревшем средстве для передачи файлов Accellion File Transfer Appliance (FTA).

Если в 2020 году отдельные вредоносные боты (Emotet, Qakbot, IcedID) были закреплены за определенными участниками партнерских программ шифровальщиков, то в 2021 году атрибуция стала не столь очевидной. Например, IcedID использовали для получения первоначального доступа в сети компаний несколько участников партнерских программ шифровальщиков — Egregor, REvil, Conti, XingLocker, RansomExx.

А вот партнеры вымогателя Ruyk для первоначального доступа в сети жертвы использовали бот BazarLoader и в весьма экзотической схеме. Он распространялся не только через фишинг — рассылку спам-писем о платных подписках, но и через вишинг. Во время телефонного разговора злоумышленники обманом заставляли жертву посетить подложный сайт и давали инструкции о том, как скачать и открыть вредоносный документ, который скачивал и запустил BazarLoader.

Наиболее популярным инструментом у вымогателей для пост-эксплуатации ожидаемо оказался Cobalt Strike — он был замечен в 60% исследованных атак шифровальщиков. Тем не менее, некоторые злоумышленники начали экспериментировать с менее распространенными фреймворками, чтобы снизить вероятность обнаружения. К примеру, группировка TA551 экспериментировала с доставкой вредоносного программного обеспечения на основе кроссплатформенного фреймворка Sliver.

«
В 2021 году киберугроза №1 впервые получила серьезный отпор — начались аресты участников преступных групп, часть вымогателей вынуждены были залечь «на дно» или замести следы, проводя ребрендинг, — сказал Олег Скулкин, руководитель Лаборатории цифровой криминалистики Group-IB. — Однако, несмотря на некоторую обеспокоенность киберпреступного сообщества, атаки представителей других партнерских программ продолжаются — так что говорить о закате шифровальщиков пока еще рано. Почти 70% инцидентов, над расследованием которых работает наша Лаборатория, приходятся на атаки с использованием программ-вымогателей и мы полагаем эта тенденция сохранится и в текущем году.
»

В Коста-Рике объявлен режим ЧС из-за масштабной хакерской атаки. Министерства не могут работать

12 мая 2022 года правительство Коста-Рики объявило чрезвычайное положение после того, как хакеры-вымогатели нанесли ущерб компьютерным сетям нескольких государственных учреждений, включая Министерство финансов. Подробнее здесь.

Эксперты вычислили скорость шифрования файлов десяти вымогательских семейств

24 марта 2022 года стало известно, что исследователи компании Splunk провели эксперимент, в ходе которого протестировали десять вымогательских программ с целью установить, как они шифруют файлы, и как быстро нужно реагировать на их атаки.

Программа-вымогатель – вредоносное ПО, которое перечисляет файлы и каталоги на скомпрометированной машине, выбирает подходящие для шифрования, а затем шифрует, из-за чего они становятся недоступными без соответствующего ключа дешифрования.

Скорость шифрования файлов вымогательским ПО имеет большое значение для команд реагирования на угрозы. Чем быстрее его удастся обнаружить, тем меньший ущерб оно причинит, и подлежащих восстановлению данных будет меньше.

Исследователи Splunk провели 400 тестов с использованием десяти различных вымогательских семейств, по десять программ в каждом семействе, на четырех различных хостах Windows 10 и Windows Server 2019 с разной производительностью.

В ходе тестирований специалисты определили скорость шифрования 98 561 файла общим объемом 53 ГБ с помощью различных инструментов, таких как Windows logging, Windows Perfmon statistics, Microsoft Sysmon, Zeek и stoQ.

Общее среднее время для всех ста программ-вымогателей на тестовых установках составило 42 минуты 52 секунды. Однако, как показано в представленной ниже таблице, некоторые образцы значительно отклонялись от этого медианного значения.

Иллюстрация: securitylab.ru

Одним из достаточно быстрых и опасных оказалось семейство вымогателей LockBit, которому удалось зашифровать все файлы в среднем всего за 5 минут 50 секунд. Представитель семейства шифровал файлы со скоростью 25 тыс. в минуту.

Ранее вымогательское ПО Avaddon зашифровало файлы за 13 минут, REvil - за 24 минуты, а BlackMatter и Darkside - за 45 минут. А вымогатель Conti отстает от них - на шифрование 53 ГБ данных у него ушел почти час. Среди отстающих также оказались Maze и PYSA, которым потребовалось целых два часа.[20]

Вымогательское ПО LokiLocker оснащено функциями вайпера

Вымогательское ПО LokiLocker оснащено функциями вайпера. Об этом стало известно 17 марта 2022 года.

Вредонос атакует пользователей по всему миру, но больше всего жертв насчитывается в Восточной Европе и Азии.

Предположительно разработанный иранскими хакерами вымогатель LokiLocker был впервые обнаружен в середине августа 2021 года. Как отмечают исследователи, его не следует путать со старой программой-вымогателем Locky или инфостилером LokiBot. Вредонос имеет схожие черты с вымогательским ПО LockBit (значения реестра, имя файла с требованием выкупа), но непохоже, чтоб он был его прямым «наследником».

LokiLocker распространяется по бизнес-модели «вымогательское ПО как услуга» (ransomware-as-a-service, RaaS) в очень узком кругу тщательно отобранных партнеров.

Исследователи все еще пытаются определить происхождение LokiLocker. Встроенная строка отладки написана на английском языке практически без ошибок, характерных для программ, написанных русскими или китайскими хакерами. Некоторые самые ранние партнеры LokiLocker имеют имена пользователей, зарегистрированные исключительно на иранских хакерских каналах. Кроме того, он содержит список стран, в которых нельзя атаковать пользователей, и одной из них является Иран.

Вредонос написан на .NET и защищен с помощью коммерческого инструмента NETGuard.

Ранние версии LokiLocker распространялись через взломанные хакерские инструменты для брутфорса, в том числе PayPal BruteCheck, Spotify BruteChecker, PiaVNP Brute Checker от ACTEAM и FPSN Checker от Angeal. Вероятно, вредонос распространялся через эти инструменты, когда находился на этапе бета-тестирования.

Как и остальные программы-вымогатели, LokiLocker шифрует атакуемые системы и дает жертве время на уплату выкупа. Если по истечении отведенного срока выкуп не будет уплачен, вредонос может стереть все данные с жестких дисков, кроме системных файлов. Кроме того, он попытается перезаписать главную загрузочную запись, чтобы вывести систему из строя[21].

2021

Число компаний, заплативших более $1 млн хакерам-вымогателям увеличилось в 3 раза

Согласно исследованию разработчика ИБ-решений Sophos, в 2021 году около 66% организаций подверглись атаке вымогательского ПО по сравнению с 37% в 2020 году. И 65% этих атак были успешными в плане шифрования данных своих жертв, по сравнению с 54% в 2020-м, говорится в отчете.

По данным британской компании по кибербезопасности, средний размер выкупа, выплачиваемого организациями за наиболее значительные атаки с использованием выкупного ПО, вырос почти в пять раз и составил чуть более $800 тыс., а число организаций, выплативших выкуп в размере $1 млн и более, по итогам 2021 года утроилось и достигло 11%.

Число компаний, заплативших более $1 млн хакерам-вымогателям, за год утроилось

Честер Вишневски, главный научный сотрудник Sophos, говорит, что стоимость вымогательских программ не только продолжает расти, но все большее число жертв решают заплатить, даже когда у них есть другие варианты.

46% опрошенных, которые сообщили, что их данные были заблокированы в результате атаки, заявили, что заплатили выкуп, чтобы получить свои данные обратно, а 26% заявили, что заплатили выкуп, хотя могли бы восстановить их самостоятельно с помощью резервных копий.

По словам Висневски, причин этому может быть несколько, включая неполное резервное копирование или желание уберечь данные компании от публикации в Интернете.

«
Организации не знают, что могли сделать злоумышленники, например, добавить бэкдоры, скопировать пароли и многое другое, - говорится в заявлении Висневски. Если организации не проведут тщательную очистку восстановленных данных, они окажутся со всем этим потенциально токсичным материалом в своей сети и могут подвергнуться повторной атаке.

»

Кроме того, после атаки вируса-вымогателя часто возникает острая необходимость как можно быстрее восстановить работоспособность, а восстановление из резервных копий часто может быть сложным и отнимать много времени, сказал Висневски. Но хотя платить киберпреступникам за ключ дешифровки может быть заманчивой идеей, это также рискованно.[22]

Средняя выплата выкупа при атаках вирусов-вымогателей достигла нового рекорда - $541 тыс

30 марта 2022 года ИБ-компанией Palo Alto Networks было опубликовано исследование, согласно которому в 2021 году объем выплаты выкупа при использовании вымогательского ПО достиг новых рекордов, поскольку киберпреступники все чаще обращались к «сайтам утечек» в даркнете, где они вынуждали жертв платить деньги, угрожая обнародовать конфиденциальные данные.

Согласно отчету, средняя сумма выкупа, требуемого вымогателями, выросла на 144% в 2021 году до $2,2 млн, а средняя сумма выплаты увеличилась на 78% до $541 010. Наиболее пострадавшими отраслями являются профессиональные и юридические услуги, строительство, оптовая и розничная торговля, здравоохранение и производство.

В 2021 году объем выплаты выкупа при использовании вымогательского ПО достиг новых рекордов, киберпреступники все чаще обращались к «сайтам утечек» в даркнете.
«
«В 2021 году атаки программ-вымогателей мешали повседневной деятельности, которую люди во всем мире считают само собой разумеющейся — от покупки продуктов и бензина для наших автомобилей до вызова службы экстренной помощи в случае чрезвычайной ситуации и получения медицинской помощи» — говорится в сообщении.
»

Наибольшую активность проявляла группа вымогателей Conti, на которую приходится более 1 из 5 случаев, рассмотренных консультантами Unit 42 в 2021 году. REvil, также известный как Sodinokibi, занял второе место с 7,1%, за ним следуют Hello Kitty и Phobos (по 4,8%). Conti также разместила названия 511 организаций на своем сайте утечек в Dark Web, что является самым большим показателем среди всех групп.

В отчете описывается рост экосистемы кибервымогательства в 2021 году с появлением 35 новых банд вымогателей. Преступные группировки инвестируют полученную прибыль в создание простых в использовании инструментов для атак, которые все чаще используют уязвимости нулевого дня.

Согласно исследованию Palo Alto Networks, число жертв, чьи данные были размещены на сайтах утечки, в 2021 году выросло на 85%, до 2566 организаций. 60% жертв сайтов утечки данных находились в Северной и Южной Америке, за ними следует 31% в Европе, на Ближнем Востоке и в Африке, а также 9% в Азиатско-Тихоокеанском регионе.[23]

Промышленные предприятия стали главной мишенью киберпреступников

23 февраля 2022 года подразделение IBM Security представило ежегодный отчет X-Force Threat Intelligence Index, который проливает свет на совокупный ущерб для бизнеса от программ-вымогателей и уязвимостей в 2021 году на фоне целенаправленных атак на промышленные предприятия как основную мишень злоумышленников в условиях усугубившегося кризиса в глобальных цепочках поставок. Наиболее распространенным видом кибератак за последний год оказался фишинг, однако специалисты IBM Security X-Force отметили рост на 33% числа атак, связанных с использованием уязвимостей в необновленном программном обеспечении. В 2021 году эти уязвимости стали главными воротами для проникновения программ-вымогателей, составив 44% от общего количества атак с применением таких программ.

По информации компании, в отчете 2022 года подробно рассказывается о том, как в течение 2021 года злоумышленники пытались разрушить фундамент глобальных цепочек поставок с помощью атак программ-вымогателей на промышленные объекты. По результатам 2021 года главной мишенью атак стали компании из отрасли промышленности (23%), сместив с доминирующих позиций сектор финансовых услуг и страхования. Увеличивая число атак на промышленные предприятия, злоумышленники рассчитывали создать «эффект домино», который привел бы к нарушению работы нижних звеньев цепочек поставок и вынудил бы организации заплатить выкуп мошенникам. 47% атак на промышленные предприятия были вызваны уязвимостями, которые компании-жертвы еще не успели или не смогли исправить. Это в очередной раз подчеркивает необходимость рассматривать управление уязвимостями как приоритетную задачу.

В отчете IBM Security X-Force Threat Intelligence Index 2022 очерчены тенденции и схемы атак, обнаруженные и проанализированные специалистами IBM Security на основе данных, собранных устройствами обнаружения инцидентов из миллиардов источников (таких как рабочие станции и сетевые устройства), опыта реагирования на инциденты, расследования атак фишинга и т. д., а также информация, предоставленная компанией Intezer.

Основные выводы из отчета 2022 года:

  • Группировкам киберпреступников не страшна ликвидация. По итогам 2021 года программы-вымогатели остаются самым распространенным методом атак, при этом не наблюдается никаких признаков ослабления этих группировок, несмотря на активные усилия по их ликвидации. Согласно отчету 2022 года, группировка киберпреступников существует в среднем 17 месяцев, прежде чем она прекратит свою деятельность или будет переименована.
  • Уязвимости — самое большое зло для бизнеса. Доклад X-Force свидетельствует, что в 2021 году причиной 50% атак на предприятия Европы, Ближнего Востока и Африки стали неисправленные уязвимости. Это лишь подтверждает, что исправление уязвимостей — сложнейшая задача для предприятий.
  • Тревожные признаки киберкризиса в облаке. Киберпреступники закладывают основу для проведения атак на облачные среды: отчет 2022 года демонстрирует рост объема другого кода для атак на Linux на 146% и смещение вектора атак в сторону Docker, что может упростить использование облачных сред для совершения вредоносных действий.

«
Киберпреступники обычно гонятся за деньгами. Теперь их целью является шантаж с помощью программ-вымогателей. Компании должны осознать, что уязвимости загоняют их в тупик, поскольку мошенники могут использовать эти уязвимости в своих интересах. Эта проблема выходит за рамки общепринятой системы угроз. На фоне постоянного увеличения периметра атак предприятия должны исходить из предположения наличия угроз вместо того, чтобы полагаться на исправление уже известных уязвимостей в своих средах, а также внедрять стратегию нулевого доверия для более эффективного управления уязвимостями.

отметил Чарльз Хендерсон, руководитель подразделения IBM X-Force
»

В ответ на активизацию работы правоохранительных органов по ликвидации хакерских группировок киберпреступники могут реализовать собственные планы по возобновлению деятельности. Анализ X-Force показывает, что средняя продолжительность существования группировок киберпреступников, прежде чем они будут ликвидированы или переименованы, составляет 17 месяцев. Например, хакерская группировка REvil, ответственная за 37% всех атак программ-вымогателей в 2021 году, просуществовала четыре года благодаря «ребрендингу», поэтому нельзя исключать вероятность ее повторного появления, несмотря на ликвидацию усилиями нескольких стран в середине 2021 года.

Замедление преступной деятельности благодаря правоохранительным органам также увеличивает расходы злоумышленников на «ребрендинг» или восстановление инфраструктуры. Для адаптации к другим «правилам игры» организациям нужно помнить о важности модернизации инфраструктуры для безопасного хранения данных — будь то локальные или облачные среды. Это поможет предприятиям упростить процессы управления, контроля и защиты приложений и данных, а также устранить рычаги влияния злоумышленников в случае взлома систем, усложнив доступ к важнейшим данным в гибридных облачных средах.

В отчете X-Force отмечается, что в 2021 году было зафиксировано рекордно высокое количество уязвимостей, при этом в системах управления производственными процессами их число ежегодно растет на 50%. Несмотря на то, что за последнее десятилетие было обнаружено более 146 тыс. уязвимостей, темпы цифровой трансформации организаций ускорились совсем недавно, главным образом в связи с пандемией. Это говорит о том, что проблемы в сфере управления уязвимостями еще не достигли своего пика.

В то же время все популярность набирает метод проведения атак, основанный на эксплуатации уязвимостей. Специалисты X-Force выяснили, что за предыдущий год число таких атак выросло на 33%. Среди наиболее часто используемых уязвимостей — две уязвимости, обнаруженные в популярных корпоративных приложениях (Microsoft Exchange, Apache Log4J Library). Масштабирование цифровых инфраструктур может обострить проблему управления уязвимостями для предприятий. А такие компании могут оказаться не в состоянии справиться с обеспечением соответствия требованиям аудита и регуляторов, поэтому так важно исходить из предположения наличия угроз и внедрять стратегию нулевого доверия для защиты корпоративной архитектуры.

В 2021 году специалисты X-Force обнаружили, что злоумышленники все чаще смещают вектор атак в сторону контейнеров, таких как Docker — самой распространенной среды исполняемой среды контейнеров (по данным Red Hat). Злоумышленникам известно, что контейнеры пользуются популярностью в организациях, поэтому они прилагают еще большие усилия для разработки вредоносных программ, которые охватывают сразу несколько платформ и могут использоваться в качестве стартовой площадки для взлома других компонентов инфраструктуры.

В отчете 2022 года также озвучено предостережение касательно постоянного притока инвестиций со стороны киберпреступников в уникальные, ранее неизвестные вредоносные программы для атак на Linux. Данные, предоставленные компанией Intezer, демонстрируют рост числа программ-вымогателей для Linux, содержащих обновленный код, на 146%. Поскольку злоумышленники неуклонно ищут способы расширения масштаба атак за счет облачных сред, предприятия должны сосредоточиться на оптимизации прозрачности своей гибридной инфраструктуры. Гибридные облачные среды, в основе которых лежат принципы взаимодействия и открытые стандарты, могут помочь организациям обнаружить «слепые зоны», а также ускорить и автоматизировать ответные действия системы обеспечения безопасности.

Дополнительные выводы, содержащиеся в отчете 2022 года:

  • Азия лидирует по числу атак — в 2021 году более 25% атак, обнаруженных IBM, были направлены на страны Азии. Это больше, чем в любом другом регионе мира. Объектом 60% атак в Азии стали финансовые учреждения и промышленные предприятия.
  • Интернет-мошенники на связи — фишинг стал самой популярной разновидностью кибератак в 2021 году. В ходе тестирования защиты экспертами X-Force Red было установлено, что эффективность фишинговых кампаний в сочетании с телефонными звонками выросла в три раза.

Число атак вирусов-вымогателей в мире выросло на 105%

17 февраля 2022 года ИБ-компания SonicWall опубликовала исследование, согласно которому в 2021 году общее количество атак программ-вымогателей увеличилось более чем в два раза - на 105% по сравнению с 2020 годом, когда рост измерялся 62% относительно 2019-го. Если сравнивать с 2019 годом, то в 2021-м число атак программ-вымогателей увеличилось более чем в три раза, что означает рост на 231% за два года.

По словам экспертов, популярность программ-вымогателей среди киберпреступников только растет, потому что это «место, где есть деньги».

Число атак вирусов-вымогателей в мире выросло на 105%
«
Если вы собираетесь монетизировать атаку и хотите получить максимальное соотношение риска и вознаграждения, то это будет вымогательское ПО. А с появлением сервисов по предоставлению выкупного ПО как услуги барьер для входа стал очень, очень низким, - отметил Дмитрий Айрапетов, вице-президент по архитектуре платформы SonicWal.
»

По данным SonicWall, в 2021 году США вновь стали самой крупной мишенью для атак с применением вымогательского ПО: на страну пришлось около 68% атак. Однако в других странах темпы роста числа таких атак были выше: в Германии и Великобритании в 2021 году число атак выросло на 3256%, а в Великобритании - на 227% по сравнению с 98%-ным ростом в США.

Что касается типов вымогательского ПО, SonicWall обнаружил, что Ryuk снова стал номером 1. Однако в 2021 году этот тип составил меньшую часть атак на программы-выкупы (30% атак), чем в 2020 году, когда Ryuk использовался в 36% атак.

Ричард Хикман из исследовательской группы Unit 42 компании Palo Alto Networks заявил в 2021 году, что за вирусами Ryuk и Conti стоит одна и та же группировка, которая считается «одной из самых безжалостных» в сфере выкупного ПО. Атаки Conti с целью получения выкупа включали в себя разрушительную атаку на службу здравоохранения Ирландии в мае 2021 года.

Согласно отчету компании CrowdStrike, опубликованному в начале февраля 2022 года, все чаще атаки с целью выкупа включают в себя раскрытие украденных данных общественности. Утечки данных, связанные с программами выкупа, выросли на 82% в 2021 году по сравнению с 2020 годом. Согласно их отчету, средняя сумма выкупа в 2021 году выросла на 36% до $6,1 млн.[24]

Системы Linux подвергаются атакам программ-вымогателей и криптоджекинга

18 февраля 2022 года компания VMware поделилась результатами исследования угроз вредоносного ПО на базе Linux Exposing Malware in Linux-Based Multi-Cloud Environments. Linux, как наиболее распространенная облачная операционная система, является основным компонентом цифровой инфраструктуры и поэтому часто становится мишенью злоумышленников для проникновения в мультиоблачную среду. Большинство решений для защиты от вредоносного ПО в основном ориентированы на защиту устройств на базе Windows. Это делает многие публичные и частные облака уязвимыми для атак, направленных на рабочие нагрузки, использующие Linux.

В числе главных выводов, в которых описаны сценарии использования вредоносных программ злоумышленников для атак на ОС Linux:

  • Программы-вымогатели все чаще нацелены на серверы, используемые для развертывания рабочих нагрузок в виртуализированных средах;
  • В 89% атак методом криптоджекинга используются библиотеки, связанные с криптомайнером XMRig;
  • Более половины пользователей фреймворка Cobalt Strike могут быть киберпреступниками или, по крайней мере, использовать Cobalt Strike незаконно.

«
Киберпреступники расширяют масштабы своей деятельности и добавляют в свой арсенал вредоносные программы, цель которых – операционные системы на базе Linux, чтобы добиться максимального эффекта при минимальными усилиях, — отметил Джованни Винья (Giovanni Vigna), старший директор подразделения анализа угроз безопасности компании VMware. — Взлом одного сервера способен принести злоумышленникам большую прибыль и обеспечить доступ к главной цели без необходимости атаковать конечное устройство. Злоумышленники атакуют как публичные, так и частные облачные среды. К сожалению, существующие средства противодействия вредоносному ПО в основном направлены на устранение угроз для серверов под управлением Windows, поэтому многие облака становятся уязвимыми для атак, основная цель которых – ОС на базе Linux.
»

Успешно проведенные атаки программ-вымогателей на облачные среды могут иметь катастрофические последствия для систем безопасности. Атаки программ-вымогателей на сервисы, развернутые в облачных средах, часто сочетаются с утечками данных – так реализуется схема двойного вымогательства. Программы- вымогатели эволюционировали, чтобы атаковать/задействовать хосты, используемые для развертывания рабочих нагрузок в виртуализированных средах. Злоумышленники теперь ищут наиболее ценные активы в облачных средах, чтобы нанести максимальный ущерб. Примерами этому могут служить программы-вымогатели семейства Defray777, которые шифровали данные на серверах ESXi, и программы-вымогатели семейства DarkSide, нанесшие ущерб сетям компании Colonial Pipeline, что вызвало нехватку бензина на всей территории США.

Киберпреступники, нацеленные на быстрое получение прибыли, часто охотятся за криптовалютой, используя для атаки один из двух подходов:
1) внедряют вредоносное ПО для кражи из онлайн-кошельков;
2) монетизируют похищенные циклы центрального процессора для майнинга криптовалют (так называемый «криптоджекинг»). Большинство таких атак сосредоточено на майнинге валюты Monero (или XMR) – в 89% атак криптоджекинга используются библиотеки, связанные с XMRig. Именно поэтому, когда в когда в бинарных файлах Linux обнаруживаются специфичные для XMRig библиотеки и модули, это свидетельствует о вредоносной активности с целью криптомайнинга.

Чтобы установить контроль и удержаться в среде, злоумышленники стремятся установить во взломанную систему программную закладку, которая даст им частичный контроль над устройством. Вредоносное ПО, веб-сайты и средства удаленного доступа могут быть внедрены в систему. Одна из основных программных закладок – это Cobalt Strike, средство коммерческого тестирования на проникновение злоумышленника, и инструменты Red Team и Vermilion Strike на базе Linux.

За период с февраля 2020 по ноябрь 2021 года подразделение анализа угроз VMware обнаружило в сети более 14 000 активных серверов Cobalt Strike Team. Общий процент взломанных и выложенных в сеть идентификаторов клиентов Cobalt Strike составляет 56%, то есть более половины пользователей фреймворка Cobalt Strike могут быть киберпреступниками или, по крайней мере, использовать Cobalt Strike незаконно. Тот факт, что такие средства удаленного доступа, как Cobalt Strike и Vermilion Strike, стали массово использоваться киберпреступниками, представляет серьезную угрозу для компаний.

«
Наше исследование показало, что все больше семейств программ-вымогателей переходят в категорию вредоносного ПО на базе Linux, существует вероятность атак, которые могут использовать уязвимости Log4j, — заявил Брайан Баскин (Brian Baskin), менеджер по исследованию угроз компании VMware. — Выводы нашего отчета могут быть использованы для более глубокого понимания природы вредоносных программ на базе Linux и сдерживания растущей угрозы, которую представляют программы-вымогатели, криптомайнеры и программы удаленного доступа для мультиоблачных сред. Поскольку атаки, нацеленные на облако, продолжают развиваться, организациям следует придерживаться концепции «нулевого доверия» Zero Trust для обеспечения безопасности всей инфраструктуры.
»

В ходе исследования департамент анализа угроз VMware использовал статические и динамические методы для характеристики различных семейств вредоносных программ, обнаруженных в системах на базе Linux, на основе тщательно отобранного набора данных, связанных с бинарными файлами Linux. Все они в открытом доступе – его можно получить с помощью VirusTotal или различных веб-сайтов основных дистрибутивов Linux. Специалисты VMware собрали более 11 000 доброкачественных образцов из нескольких дистрибутивов Linux, в частности, Ubuntu, Debian, Mint, Fedora, CentOS и Kali. Затем подразделение TAU собрало набор образцов для двух классов угроз — программ-вымогателей и криптомайнеров. Наконец, были собраны вредоносные бинарные ELF-файлы из VirusTotal, которые использовались в качестве тестового пакета вредоносных данных. Все данные были собраны за период июнь-ноябрь 2021 года.

Число утечек данных из-за вирусов-вымогателей в мире взлетело на 82%

В 2021 году утечки данных, связанные с вирусами-вымогателями, выросли на 82% по сравнению с 2020 году. Такие данные американская компания по кибербезопасности CrowdStrike представила в середине февраля 2022 года. Подробнее здесь.

Среди всех угроз доминировали программы-вымогатели

1 февраля 2022 года компания Cisco Talos рассказала о главных событиях на рынке кибербезопасности в 2021 году.

Среди всех угроз в 2021 году доминировали программы-вымогатели. В их использовании наблюдались два тренда: увеличение числа злоумышленников и рост применения коммерчески доступных продуктов и программ с открытым кодом. Подробнее здесь.

Число выявленных вирусов-вымогателей выросло на 26%, до 157

26 января 2022 года было опубликовано исследование, согласно которому в 2021-м было выявлено 32 новых семейств вирусов-вымогателей, что на 26% больше, чем годом ранее. Их общее количество достигло 157.

Отчет подготовлен разработчиками средств защиты Ivanti и Cyware совместно с центром нумерации CVE Cyber Security Works. Он составлен из нескольких источников данных, в том числе Ivanti и CSW, общедоступных баз данных угроз, а также исследователей угроз и групп пентестеров.

Число выявленных вирусов-вымогателей выросло в 2021 году на 26%

Анализ выявил 65 новых уязвимостей, связанных с программами-вымогателями в 2021 году, всего 288. Более трети (37%) появившихся уязвимостей были обнаружены на теневых веб-сайтах и в результате подвергались повторной эксплуатации. Кроме того, более половины (56%) старых CVE по-прежнему регулярно эксплуатируются.

В отчете также подчеркивается, что многие уязвимости нулевого дня эксплуатировались еще до того, как они были опубликованы в Национальной базе данных уязвимостей США (NVD). К ним относятся те, которые использовались для компрометации Kaseya (CVE-2021-30116) и печально известная ошибка Log4Shell (CVE-2021-44228).

Модель «программы-вымогатели как услуга» (RaaS) помогает демократизировать этот вид деятельности в киберпреступном подполье. Особенно опасными являются предложения «эксплойт как услуга», которые позволяют злоумышленникам арендовать эксплойты нулевого дня у их разработчиков.

В 2021 году было выявлено 65 новых уязвимостей, связанных с программами-вымогателями, всего их 288
«
Программы-вымогатели становятся все более изощренными, а их атаки - все более эффективными. Эти субъекты угроз все чаще используют автоматизированные наборы инструментов для использования уязвимостей и более глубокого проникновения в скомпрометированные сети. Они также расширяют свои цели и совершают все больше атак на критически важные сектора, нарушая повседневную жизнь и нанося беспрецедентный ущерб, — заявил Иванти, старший вице-президент по продуктам безопасности Шринивас Муккамала.
»

«
Организациям необходимо проявлять особую бдительность и без промедления исправлять уязвимости, связанные с угрозами кибербезопасности, без задержек. Это требует использования комбинации приоритизации уязвимостей на основе рисков и автоматизированной аналитики исправлений для выявления и определения приоритетов слабых мест уязвимостей, а затем ускорения устранения, - добавил он.[25]
»

Атака на одну из крупнейших в мире судоходных компаний Swire Pacific Offshore

26 ноября 2021 года судоходная компания Swire Pacific Offshore (SPO) объявила об утечке данных после того, как стала жертвой кибератаки. Была украдена как коммерческая информация, так и личные данные сотрудников. Подробнее здесь.

Рост ущерба от атак вирусов-вымогателей до $325 млн

По оценке журнала Cybercrime magazine, глобальный ущерб от программ-вымогателей к концу 2021 года достигнет $20 млрд, тогда как еще в 2015 году эта цифра составляла $325 млн. Атаки вирусов-вымогателей на предприятия в мире происходят каждые 11 секунд. Не последнюю роль в этом сыграла пандемия коронавируса, которая спровоцировала резкий рост использования онлайн-сервисов. Об этом стало известно 23 ноября 2021 года. Подробнее здесь.

Вирус-вымогатель заблокировал ИТ-системы оператора общественного транспорта

В начале ноября 2021 года появилась информация о том, что атака вируса-вымогателя нарушила деятельность агентства общественного транспорта Торонто в Канаде - Toronto Transit Commission (TTC). Также кибернападение вывело из строя несколько систем, используемых как водителями, так и пассажирами. На момент написания статьи ни одна из банд, распространяющих вымогательские программы, не взяла на себя ответственность за этот инцидент. Подробнее здесь.

Check Point Software: $40 млн - это рекордный выкуп хакерам

По данным компании Check Point Software, специализирующейся на технологиях информационной безопасности, выкуп в $40 млн, который страховая компания CNA Financial заплатила в 2021 году хакерам, стал крупнейшим в истории атак вирусов-вымогателей. Об этом эксперты сообщили в начале ноября 2021 года.

По сведениям Bloomberg, злоумышленники изначально требовали $60 млн, а после длительных переговоров они согласились на уменьшенную на $20 млн. По данным ИБ-специалистов, использованный для атаки на CNA Financial вирус Phoenix был создан на базе зловреда Hades. Этот вирус разработала хакерская группировка Evil Corp. Подробнее здесь.

Хакеры организовали кибератаку по всему миру через дыру в корпоративном ПО BQE Software

В конце октября 2021 года появилась информация о том, что хакеры начали взламывать компании с помощью вируса-вымогателя, используя уязвимость в системе учета рабочего времени и выставления счетов BillQuick Web Suite разработанной BQE Software. Об этом сообщили в компании Huntress, занимающейся исследованием угроз. Подробнее здесь.

IDC: Каждая третья компания в мире столкнулась с вирусами-вымогателями

В конце октября 2021 года аналитики IDC опубликовали исследование, в котором сообщили, что более трети компаний по всему миру в 2020-2021 гг. подверглись атаке вирусов-вымогателей или взлому, заблокировавшему доступ к ИТ-системам или данным.

Наибольшее количество инцидентов, связанных с вирусами-вымогателями (Ransomware), зафиксировано в производственных и финансовых отраслях, а наименьшее, в отраслях транспорта, связи и коммунальных услуг и медиа. Компании, кто стал жертвой, нередко сталкивались и с повторными случаями атак.

«
Вирусы-вымогатели стали врагом дня; угроза, которой сначала боялись на Пенсильвания-авеню, а затем стали бояться на Уолл-стрит, теперь стала предметом разговоров на Мэйн-стрит. По мере того, как алчность кибермошенников подпитывалась, вирусы-вымогатели становились все более изощренными, постоянно обновлялись, повышая свою приватность, тем самым активно уклоняясь от обнаружения, изымая данные и используя многогранное вымогательство. Добро пожаловать на темную сторону цифровой трансформации!, - сказал программный вице-президент IDC по продуктам кибербезопасности Фрэнк Диксон (Frank Dickson).
»

IDC: Каждая третья компания в мире столкнулась с атакой вирусов-вымогателей

Основные выводы, сделанные в ходе исследования, включают следующее:

  • Уровень инцидентов был заметно ниже для компаний, расположенных в США 7%, по сравнению с общемировым показателем 37%;
  • Наибольшее количество инцидентов, связанных с вирусами-вымогателями, зафиксировано в производственных и финансовых отраслях, а наименьшее, в отраслях транспорта, связи и коммунальных услуг/медиа;
  • Только 13% организаций сообщили, что пережили атаку/взлом вирусами-вымогателями и не заплатили выкуп;
  • Хотя средняя сумма выкупа составила почти $250 тыс., несколько крупных выкупов в размере более $1 млн, исказили общие средние показатели.

Повышение осведомленности об инцидентах с вымогательством выкупа побудило различные компании предпринять целый ряд ответных мер. К ним относятся проверка и сертификация методов обеспечения безопасности и защиты/восстановления данных у партнеров и поставщиков, периодическое стресс-тестирование процедур реагирования на киберпреступления, а также более активный обмен информацией об угрозах с другими организациями и/или государственными учреждениями. Повышение осведомленности об инцидентах также вызвало просьбы советов директоров пересмотреть методы обеспечения безопасности и процедуры реагирования на вирусы-вымогатели.[26]

Две трети организаций подверглись как минимум одной атаке с использованием программ-вымогателей

Компания Fortinet 11 октября 2021 года поделилась результатами отчета 2021 Global State of Ransomware Report. Опрос показывает, что большинство организаций больше обеспокоены программами-вымогателями, чем другими киберугрозами. Однако, хотя большинство опрошенных организаций указали, что они готовы к таким атакам: внедрили кибер-обучение сотрудников, провели оценку рисков и страхование кибербезопасности, существует явный разрыв в том, что многие респонденты считают ключевыми решениями для защиты и технологиями, которые могут наилучшим образом защитить от наиболее распространенных методов проникновения в их сети.

«
Согласно недавнему отчету FortiGuard Labs Global Threat Landscape, количество программ-вымогателей выросло на 1070% в годовом исчислении. Неудивительно, что организации назвали меняющийся ландшафт угроз одной из главных проблем в предотвращении атак программ-вымогателей. Как свидетельствует наш опрос о программах-вымогателях, существует огромная возможность для внедрения технологических решений, таких как сегментация, SD-WAN, ZTNA, а также SEG и EDR, для защиты от таких угроз и обеспечения методов доступа, которые чаще всего упоминали респонденты. Большое количество атак демонстрирует безотлагательную необходимость для организаций обеспечить защиту своих данных от последних методов атак программ-вымогателей в сетях, на конечных точках и в облаках. Хорошая новость заключается в том, что компании осознают ценность платформенного подхода к защите от программ-вымогателей – сказал Джон Мэддисон, первый вице-президент отдела маркетинга продуктов и решений компании Fortinet.
»

График: Жизненно важные решения для обеспечения защиты от программ-вымогателей

Если судить по технологиям, считающимся крайне важными, среди которых наиболее популярными являются Secure Web Gateway, VPN и Network Access Control, то организации больше всего беспокоятся об удаленных сотрудниках и устройствах, Хотя ZTNA – молодая технология, ее следует рассматривать как замену традиционной технологии VPN. Однако наибольшее беспокойство вызвала низкая значимость сегментации (31%). Это критически важное технологическое решение, которое предотвращает боковое перемещение злоумышленников внутри сети для получения доступа к важным данным и интеллектуальной собственности. Аналогичным образом, UEBA и песочница играют критически важную роль в выявлении вторжений и новых штаммов вредоносных программ, но оба они находятся ниже в списке. Еще одним сюрпризом стало восприятие важности защищенности шлюза электронной почты на уровне 33%, учитывая, что фишинг, как сообщается, является распространенным методом проникновения злоумышленников.

Наибольшее беспокойство организаций в связи с атакой программ-вымогателей вызвал риск потери данных, а также снижение производительности и прерывание работы. Кроме того, 84% организаций сообщили о наличии плана реагирования на инциденты, а страхование кибербезопасности входило в 57% этих планов. Что касается выплаты выкупа в случае атаки, то для 49% организаций процедура заключается в прямой выплате выкупа, а для еще 25% – в зависимости от того, насколько дорог выкуп. Из четверти тех, кто заплатил выкуп, большинство, но не все, получили свои данные обратно.

Несмотря на то, что опасения по поводу программ-вымогателей были достаточно устойчивыми во всех странах, в регионах наблюдались некоторые различия. Респонденты из стран EMEA (95%), Латинской Америки (98%) и APJ (Азиатско-Тихоокеанский регион/Япония) (98%) были обеспокоены такими атаками лишь немного больше, чем их коллеги из Северной Америки (92%). Все регионы считают потерю данных главным риском, связанным с атакой программ-вымогателей, наряду с опасениями, что они не смогут противостоять все более изощренным угрозам. В Азиатско-Тихоокеанском регионе, в частности, главной проблемой является недостаточная осведомленность и обучение пользователей. Респонденты в Азиатско-Тихоокеанском регионе и Латинской Америке чаще других становились жертвами таких атак в прошлом (78%) по сравнению с 59% в Северной Америке и 58% в регионе EMEA. Везде распространенным вектором атак был фишинг, в то время как в Азиатско-Тихоокеанском регионе и Латинской Америке основными векторами атак были эксплойты протокола удаленного рабочего стола (RDP) и открытые уязвимые порты.

Почти все респонденты считают, что оперативная разведка угроз с помощью интегрированных решений безопасности или платформы имеет решающее значение для предотвращения атак программ-вымогателей, и видят ценность в возможностях обнаружения поведенческих факторов на основе искусственного интеллекта (ИИ).

График: Важные аспекты решений в области информационной безопасности

Хотя почти все опрошенные считают, что они в меру подготовлены и планируют инвестировать в обучение сотрудников кибер-осведомленности, из опроса ясно, что организациям необходимо признать ценность инвестиций в такие технологии, как усовершенствованная защита электронной почты, сегментация и песочница, в дополнение к основным технологиям NGFW, SWG и EDR, для обнаружения, предотвращения и ограничения программ-вымогателей. Важно, чтобы организации рассмотрели и оценили эти решения для снижения риска, учитывая тактики и методы борьбы с такими угрозами. Наиболее продвинутые организации примут платформенный подход к стратегии защиты от программ-вымогателей, предоставляющий основные возможности, полностью интегрированные с оперативной информацией об угрозах. Они также должны быть спроектированы так, чтобы взаимодействовать как единая система и быть усовершенствованы с помощью искусственного интеллекта и машинного обучения, чтобы лучше обнаруживать угрозы программ-вымогателей и реагировать на них.

Отчет основан на глобальном опросе руководителей ИТ-подразделений, цель которого – лучше понять, как организации относятся к угрозе программ-вымогателей, как они защищаются от нее в настоящее время и как планируют защищаться от нее в будущем.

Опрос проводился в августе 2021 года с участием 455 руководителей компаний из малых, а также средних и крупных организаций по всему миру. Участники опроса – лидеры в области ИТ и безопасности из 24 разных стран, представляющие практически все отрасли, включая государственный сектор.

На Украине задержали участника хакерской группировки, которая выманила $150 млн при помощи вирусов-вымогателей

В начале октября 2021 года правоохранительные органы Украины сообщили о задержании хакера, который своими преступными действиями нанес ущерб иностранным компаниям на общую сумму в $150 млн. Подробнее здесь.

Атака вируса-вымогателя на минюст ЮАР

В сентябре 2021 года стало известно об атаке вируса-вымогателя на Министерство юстиции и конституционного развития Южной Африки (DOJCD). Хакеры требуют от ведомства выкуп в размере 50 биткоинов в обмен на восстановление доступа к взломанным системам. Подробнее здесь.

Бизнес операторов программ-вымогателей может измениться

Эксперты предполагают, что скоро операторы вымогательского ПО могут отказаться от партнеров по «отрасли», так как последние вредят их «безупречной репутации». Как показал анализ, во втором квартале 2021 года были побиты все рекорды по количеству атак с использованием шифровальщиков: их доля составила 69% среди всех атак с использованием ВПО. Об этом 14 сентября 2021 года сообщили в Positive Technologies.

«
«Самое большое число атак с использованием программ-вымогателей (45%) пришлось на апрель, — отметила аналитик информационной безопасности Positive Technologies Яна Юракова. — Однако в начале мая злоумышленники атаковали крупнейшую трубопроводную систему США Colonial Pipeline и полицию округа Колумбия, чем привлекли внимание правоохранительных органов. Эти инциденты сказались на активности операторов и распространителей шифровальщиков. Уже в июне количество атак с их участием уменьшилось вдвое. Некоторые из них даже внесли изменения в свои партнерские программы, добавив ограничения на отрасль атакуемого предприятия, как, например, операторы REvil».
»

Эксперты Positive Technologies особо отметили частые споры на форумах в дарквебе на тему бизнеса операторов программ-вымогателей. Так, некоторые участники форумов считают, что вымогателям необходимо прекратить текущую деятельность, поскольку та наносит слишком большой урон и негативно сказывается на деятельности участников теневого рынка, и найти другой способ зарабатывать.

«
«На наш взгляд, наделавшие шума операторы программ-вымогателей не смогут бросить такой прибыльный бизнес и в ближайшее время лишь залягут на дно, чтобы шумиха вокруг них улеглась и они смогли определить новые принципы работы», — прокомментировал ситуацию Вадим Соловьев, руководитель группы анализа угроз информационной безопасности Positive Technologies.
»

Как сообщается в исследовании, на форумах в дарквебе относительно недавно появился запрет на публикацию постов на тему партнерских программ операторов шифровальщиков. Эксперты считают, что в скором времени структура этого бизнеса может измениться. Одним из сценариев подобных изменений может стать исчезновение так называемых партнеров как отдельной роли: их задачи возьмут на себя сами операторы программ-вымогателей, которые будут собирать команды распространителей и курировать их напрямую, а не через посредника, и активнее привлекать добытчиков доступов в свои цепочки атак.

Еженедельная активность программ-вымогателей увеличилась за год в 10 раз

Компания Fortinet, представитель в области глобальных интегрированных и автоматизированных решений для обеспечения кибербезопасности, 30 августа 2021 года поделилась результатами полугодового исследования FortiGuard Labs Global Threat Landscape Report. Данные об угрозах, полученные в первой половине 2021 года, свидетельствуют о значительном увеличении объема и сложности атак, направленных на отдельных лиц, организации и все более критическую инфраструктуру. Расширяющаяся поверхность атаки – гибридная рабочая сила и учащиеся, находящихся в периметре традиционной сети и вне ее – остается мишенью злоумышленников. Своевременное сотрудничество и развитие партнерских отношений между правоохранительными органами, а также государством и частными компаниями даст возможность нарушить экосистему киберпреступников во второй половине 2021 года. Подробный обзор отчета, а также некоторые важные выводы читайте в нашем блоге. Ниже приводятся выводы исследования за первое полугодие 2021 года:

1) Программы-вымогатели – речь идет о чем-то большем, чем просто о получении денег: данные FortiGuard Labs показывают, что средняя еженедельная активность программ-вымогателей в июне 2021 года была более чем в десять раз выше, чем уровень, зафиксированный, год назад. Это демонстрирует постоянный и в целом устойчивый рост в течение года. Атаки нанесли ущерб цепочкам поставок множества организаций, в частности, критически важным секторам, и повлияли на повседневную жизнь, производительность и торговлю больше, чем когда-либо прежде. Больше всего преследовались организации телекоммуникационного сектора, за ними следовали правительство, поставщики управляемых услуг безопасности, автомобильный и производственный секторы.

Кроме того, некоторые операторы программ-вымогателей сместили свою стратегию с загрузки через электронную почту к сосредоточению на получении и продаже начального доступа к корпоративным сетям, что еще раз демонстрирует продолжающуюся эволюцию программ-вымогателей как услуги (RaaS), подпитывающую киберпреступность. Ключевой вывод заключается в том, что программы-вымогатели остаются явной и реальной опасностью для всех организаций, независимо от отрасли и размера. Организациям необходимо применять упреждающий подход с решениями для защиты конечных точек в реальном времени, обнаружения и автоматического реагирования для обеспечения безопасности сред наряду с подходом с нулевым доверием, сегментацией сети и шифрованием.

Рост обнаружения программ-вымогателей за последние 12 месяцев (Июль 2020 – Июнь 2021)

2) Каждая четвертая организация обнаружила вредоносную рекламу: рейтинг распространенности наиболее часто обнаруживаемых вредоносных программ по их семействам показывает рост числа вредоносной рекламы (malvertising) с использованием социальной инженерии и scareware. Более одной из четырех организаций выявляли попытки распространения вредоносной рекламы или scareware, среди которых Cryxos. Хотя, скорее всего, большое количество обнаружений сочетается с другими подобными кампаниями JavaScript, которые можно считать вредоносной рекламой. Гибридная рабочая реальность, несомненно, подтолкнула киберпреступников к этой тактике – они используют ее чтобы запугивать и вымогать. Чтобы человек не стал жертвой scareware и вредоносной рекламы, как никогда важно обучать его и повышать осведомлённость о таких подходах.

3) Тенденции ботнетов показывают, что злоумышленники наращивают силы до предела: отслеживание распространенности обнаружения ботнетов показало всплеск активности. В начале года 35% организаций обнаруживали активность ботнетов в том или ином виде, а через шесть месяцев этот показатель составил 51%. За общий всплеск активности в июне ответственен TrickBot. Изначально он появился на киберпреступной сцене как банковский троян, но с тех пор превратился в сложный и многоступенчатый инструментарий, поддерживающий целый ряд незаконных действий. Mirai был самым распространенным в целом; он обогнал Gh0st в начале 2020 года и с тех пор действовал до 2021 года. Mirai продолжает пополнять свой арсенал кибероружием, но вполне вероятно, что доминирование Mirai, по крайней мере частично, все еще обусловлено стремлением преступников эксплуатировать устройства Интернета вещей (IoT), используемые людьми, работающими или обучающимися на дому. Также заметна активность Gh0st – ботнета удаленного доступа, который позволяет злоумышленникам полностью контролировать зараженную систему, захватывать прямые трансляции с веб-камеры и микрофона или загружать файлы. Более чем через год после начала удаленной работы и сменного обучения киберпротивники продолжают использовать в своих целях наши развивающиеся повседневные привычки. Для защиты сетей и приложений организациям необходимы подходы с нулевым доверием к доступу, обеспечивающие наименьшие привилегии доступа для защиты от проникновения в сеть конечных точек и устройств IoT.

4) Борьба с киберпреступностью дает свои плоды: В сфере кибербезопасности не каждое действие имеет немедленный или длительный эффект, но несколько событий 2021 года свидетельствуют о позитивных изменениях именно для защитников. В июне первоначальному разработчику TrickBot были предъявлены многочисленные обвинения. Кроме того, скоординированное уничтожение Emotet, а также действия по пресечению операций программ-вымогателей Egregor, NetWalker и Cl0p представляют собой значительный импульс со стороны киберзащитников, включая мировые правительства и правоохранительные органы, направленный на борьбу с киберпреступностью. Кроме того, внимание, которое привлекли некоторые атаки, заставило нескольких операторов программ-вымогателей объявить о прекращении своей деятельности. Данные FortiGuard Labs свидетельствуют о замедлении активности угроз после уничтожения Emotet. Активность, связанная с вариантами TrickBot и Ryuk, сохранилась и после отключения ботнета Emotet, но ее объем снизился. Это напоминание о том, как трудно сразу ликвидировать киберугрозы или цепочки поставок противника, но эти события являются важными достижениями, несмотря ни на что.

5) Защитные методы уклонения и эскалация привилегий киберпреступников: Изучение данных об угрозах с более высоким разрешением позволяет сделать ценные выводы о том, как развиваются методы атак. Лаборатория FortiGuard Labs проанализировала специфическую функциональность, присущую обнаруженным вредоносным программам, испытал образцы, чтобы проследить, какой результат предполагался киберпротивниками. В результате был составлен список негативных действий, которые вредоносное ПО могло бы совершить, если бы полезная нагрузка атаки была выполнена в целевых средах. Это показывает, что киберпротивники стремились к повышению привилегий, обходу защитных систем, боковому перемещению по внутренним системам и утечке скомпрометированных данных, среди прочих методов. Например, 55% наблюдаемых функций повышения привилегий использовали хукинг, а 40% – внедрение процессов. Отсюда можно сделать вывод, что защитники уделяют особое внимание тактике уклонения от защиты и эскалации привилегий. Хотя эти методы не являются новыми, организации будут лучше защищены от будущих атак, вооружившись этими своевременными знаниями. Интегрированные и основанные на искусственном интеллекте (ИИ) платформенные подходы, основанные на оперативной информации об угрозах, необходимы для защиты по всем направлениям, а также для выявления и устранения меняющихся угроз, с которыми организации сталкиваютсяв режиме реального времени.

«
Мы наблюдаем рост числа эффективных и разрушительных кибератак, затрагивающих тысячи организаций в одном инциденте. Это создает важный переломный момент в войне с киберпреступностью. Каждый играет важную роль в укреплении цепи поражения. Для разрушения цепочек поставок киберпреступников приоритетным направлением должно стать объединение сил посредством сотрудничества. Совместное использование данных и партнерство могут обеспечить более эффективное реагирование и более точное прогнозирование будущих методов для сдерживания усилий противника. Постоянное обучение по вопросам кибербезопасности, а также технологии предотвращения, обнаружения и реагирования на основе искусственного интеллекта, интегрированные в конечные точки, сети и облака, остаются жизненно важными для противодействия киберпротивникам, – сказал Дерек Мэнки, руководитель отдела аналитики безопасности и Global Threat Alliances, FortiGuard Labs.
»

В то время как правительство и правоохранительные органы принимали меры в отношении киберпреступности в прошлом, первая половина 2021 года может изменить правила игры с точки зрения динамики развития событий в будущем. Для принятия действенных мер против киберпреступников необходимо всестороннее сотрудничество с отраслевыми поставщиками, организациями по анализу угроз и другими глобальными партнерскими организациями, чтобы объединить ресурсы и информацию об угрозах в реальном времени. Тем не менее, автоматическое обнаружение угроз и искусственный интеллект по-прежнему необходимы для того, чтобы организации могли реагировать на атаки в режиме реального времени и смягчать их с высокой скоростью и масштабируемостью на всех уровнях. Кроме того, обучение пользователей по вопросам кибербезопасности так же важно, как и прежде. Все нуждаются в регулярном обучении методам обеспечения безопасности отдельных сотрудников и организации.

Хакеры заблокировали системы ИТ-компании Kaseya и потребовали выкуп в $70 млн

В начале июля 2021 года Kaseya подверглась кибератаке, которая предположительно была осуществлена хакерами REvil. В результате хакерского нападения были заражены системы не только REvil, но и сотен клиентов по меньшей мере в 17 странах. Злоумышленники требуют выкуп в размере $70 млн. Подробнее здесь.

Минздрав Ирландии отключил ИТ-системы после атаки вируса-вымогателя

14 мая 2021 года Национальная служба здравоохранения Ирландии вынуждена была временно отключить свою ИT-систему из-за хакерской атаки. Известно, что хакеры использовали программу-вымогатель. Подробнее здесь.

Рост средних расходов компаний на восстановление после атаки вирусов-вымогателей до $1,85 млн

Согласно исследованию, опубликованному ИБ-компанией Sophos в конце апреля 2021 года, средние расходы бизнеса на восстановление после атаки вирусов-вымогателей в мире в годовом исчислении выросли более чем вдвое. К началу 2020 года они составляли $761 106, а год спустя — $1,85 млн. Средний размер выкупа организаторам таких атак, блокирующих работу компьютеров, превысил $170 тыс.

Согласно докладу Sophos, лишь 8% компаний смогли полностью вернуть утраченные данные после взлома с использованием вирусов-вымогателей. 29% организаций удалось восстановить не больше половины информации.

Расходы компаний на восстановление после атаки вирусов-вымогателей достигли $2 млн

Для своей аналитической работы Sophos опросила около 5400 ИТ-руководителей компаний среднего размера в 30 странах Европы, Северной и Южной Америки, Азиатско-Тихоокеанского региона и Центральной Азии, Ближнего Востока и Африки. 37% респондентов сообщили о пережитых атаках шифровальщиками, тогда как годом ранее эта доля равнялась 51%. Также снизилось количество компаний, у которых данные оказались зашифрованы в результате таких кибернападений, — с 73% до 54% от общего количества организаций, охваченных исследованием.

«
Очевидное сокращение числа организаций, пострадавших от программ-вымогателей, — это хорошая новость, но она омрачается изменением поведения злоумышленников, по крайней мере, частичным, — говорит главный научный сотрудник. Sophos Честер Вишневски (Chester Wisniewski). — Мы видели, как киберпреступники переходят от крупномасштабных, обычных, автоматических атак к более целевым нападениям, которые включают отслеживание ручного набора текста на клавиатуре. Хотя атак стало меньше, вероятность ущерба от этих всё более сложных целевых нападений теперь стала намного выше.
»

Компании стали чаще платить выкуп организаторам атак при помощи вирусов-вымогателей: к началу 2021 года их доля увеличилась до 32% с 26% в 2020-м. 10 опрошенных компаний заплатили более $1 млн.[27]

Производитель устройств для IoT Sierra Wireless остановил заводы из-за атаки вируса-вымогателя

В конце марта 2021 года канадский производитель устройств для Интернета вещей (IoT) Sierra Wireless остановил производство после того, как стал жертвой атаки программы-вымогателя. Атака также нарушила внутренние операции, и веб-сайт компании прекратил работу. Подробнее здесь.

2020

Доходы распространителей вирусов-вымогателей оценены в $400 млн

Совет национальной безопасности США подсчитал, что доходы хакеров по всему миру, которые использовали вирусы-вымогатели, в 2020 году составил $400 млн. Данные опубликованы на сайте Белого дома в октябре 2021 года.

Инциденты с вирусами-вымогателями нарушили работу важнейших служб и предприятий по всему миру, пострадали: школы, банки, государственные учреждения, службы спасения, больницы, энергетические компании, транспорт и предприятия пищевой промышленности. Вирусы атаковали организации любого размера, независимо от их местонахождения. Глобальные экономические потери от вредоносных программ значительны, отмечают эксперты.

Доходы распространителей вирусов-вымогателей оценен по итогам 202о года в $400 млн

Администрация президента США Джо Байдена прилагает целенаправленные комплексные усилия для борьбы с этой угрозой. Работа организована по следующим направлениям:

  • Уничтожение инфраструктуры и действующих лиц, распространяющих вымогательское ПО: Администрация задействует все возможности правительства США, чтобы уничтожить участников, организаторов, сети и финансовую инфраструктуру вирусов-вымогателей;

  • Повышение устойчивости для противостояния атакам вирусов-вымогателей: администрация призвала частный сектор увеличить инвестиции и сосредоточиться на киберзащите, чтобы противостоять этой угрозе. Администрация также определила ожидаемые пороговые уровни кибербезопасности для критической инфраструктуры и ввела требования кибербезопасности для критической инфраструктуры транспорта;

  • Борьба со злоупотреблением виртуальной валютой для отмывания выкупных платежей: На виртуальную валюту распространяются те же меры контроля по борьбе с отмыванием денег и финансированием терроризма (AML/CFT), которые применяются к фиатной валюте и эти меры контроля, эти законы должны соблюдаться.

  • Использовать международное сотрудничество для разрушения экосистемы вирусов-вымогателей и устранения безопасных гаваней для преступников, использующих компьютерный вирус:

По данным Check Point Research, за 12-месячный период, начавшийся в октябре 2020 года, во всем мире число компаний, столкнувшихся с атаками программ-вымогателей, увеличилось на 57%, а с начала 2021 года число таких атак растет на 9% ежемесячно. Согласно статистике ИИ-стартапа Deep Instinct, общее количество атак с применением вымогателей выросло на 435% в 2020 году. При помощи этого типа вирусов хакерам удалось остановить работу 560 медицинских центров, 1,6 тыс. школ и колледжей, а также более, чем 1,3 тыс. иных организаций, заявляет ИБ-компания Emsisoft.[28]

50% ритейлеров в мире столкнулась с атаками кибервымогателей

В середине августа 2021 года вышел отчет аналитической фирмы Sophos, согласно которому в 2020 году около 44% предприятий розничной торговли пострадали от атак вирусов-вымогателей. Более половины из пострадавших (54%) сообщили, что киберпреступникам удалось зашифровать их данные.

Тактика розничных продавцов, чьи данные оказались зашифрованы, была различна: 32% заплатили выкуп, чтобы вернуть свои данные, причем средний размер выкупа составил $147,8 тыс., а 56% использовали резервные копии для восстановления данных. Однако исследование Sophos, также показало, что заплатившие выкуп компании получили в среднем лишь 67% своих данных, то есть треть украденной информации так и осталась недоступна. Лишь 9% организаций, заплативших выкуп, получили обратно все свои зашифрованные данные.

50% ритейлеров в мире столкнулась с атаками кибервымогателей по итогам 2020 года

Средний счет за устранение атаки вирусов-вымогателей в этом секторе (с учетом времени простоя, оплаты труда, стоимости устройств, упущенных возможностей, уплаченного выкупа и т. д.) составил $1,97 млн.

Sophos также обнаружила, что розничные организации оказались особенно уязвимы к новому виду атак, когда операторы программ-вымогателей не шифруют файлы, а просто угрожают утечкой извлеченной информации в Интернет, если выкуп не будет выплачен в срок. Атаки такого типа отмечали 12% жертв вирусов-вымогателей.

«
Сравнительно высокий процент атак на организации розничной торговли не так уж удивителен. Компании из отрасли услуг хранят информацию, которая регулируется строгими законами о защите данных, и злоумышленники охотно используют страх жертвы перед утечкой этих данных, которая грозит штрафами и ущербом репутации бренда, - отметил главный научный сотрудник Sophos Честер Вишневски (Chester Wisniewski).[29]
»

Вирусы-вымогатели выманили $350 млн - Chainalysis

В начале февраля 2021 года аналитическая компания Chainalysis выпустила отчет, согласно которому в 2020 году хакеры получили не менее $350 млн при использовании вирусов-вымогателей. Эти данные компания получила путем отслеживания транзакций по адресам блокчейнов, связанных с атаками программ-вымогателей.

Однако Chainalysis уточнила, что ее оценка указывает лишь на минимальную сумму, истинные цифры до сих пор неизвестны, поскольку жертвы не всегда предпочитают открыто говорить о перенесенных атаках вирусов-вымогателей и последующих платежах.

Вирусы-вымогатели в 2020 году выманили $350 млн

Согласно данным Chainalysis, в 2020 году на платежи вследствие атак вымогателей пришлось 7% всех средств, полученных «преступными» криптовалютными адресами. Эти цифры выросли на 311% по сравнению с 2019 годом, и аналитики Chainalysis считают, что резкий рост связан с появлением новых вирусов, «резко увеличивающих прибыль». По данным компании, самые крупные выкупы получали такие группы вирусов-вымогателей, как Ryuk, Maze, Doppelpaymer, Netwalker, Conti и REvil (также известный как Sodinokibi). Тем не менее, другие вирусы, такие как Snatch, Defray777 (RansomExx) и Dharma, также принесли хакерам прибыль, оцениваемую в миллионы долларов.

Chainalysis предполагает, что вирусы-вымогатели используются меньшим количеством злоумышленников, чем предполагалось изначально, причем многие из этих групп постоянно меняют RaaS («программа-вымогатель как услуга»), соблазняясь более выгодными предложениями.

Chainalysis также сообщил, что группа из пяти обменных порталов получает 82% всех средств от программ-вымогателей в 2020 году. Правоохранительные органы могут использовать эту информацию, чтобы прервать поток операций по отмыванию денег, полученных хакерами.[30]

Атака вируса-вымогателя на французскую ИТ-компанию Sopra Steria

В конце ноября 2020 года французский ИТ-гигант Sopra Steria признал, что октябрьская атака вируса-вымогателя обойдется компании в десятки миллионов долларов. Компания сообщила, что атака негативно повлияет на ее валовую прибыль за 2020 год, снизив ее на сумму от 40 млн евро до 50 млн евро. При этом около 30 млн евро убытков будут покрыты специальной страховкой, отметили в компании. Подробнее здесь.

Ущерб от вирусов-вымогателей в мире превышает $1 млрд в год

Ущерб от вирусов-вымогателей в мире превышает $1 млрд в год. Такие данные 25 ноября 2020 года обнародовали в компании Group-IB, специализирующейся на предотвращении кибератак.

По словам экспертов, упомянутая сумма — это минимум. Реальный ущерб может быть в несколько раз больше, поскольку зачастую пострадавшие компании предпочитают замалчивать инцидент, заплатив вымогателям, либо атака не сопровождается публикацией данных из сети жертв, говорится в исследовании.

Group-IB: ущерб от вирусов-шифровальщиков в мире превышает $1 млрд в год

Наиболее популярными целями вымогателей были компании из США: на них пришлось около 60% всех известных атак. Доля атак в странах Европы составила около 20%, порядка 10% пришлось на страны Северной и Южной Америки (за исключением США) и Азии (7%).

В пятерку отраслей, которые чаще всего подвергаются атакам шифровальщиков, входят:

  • производство (94 жертвы);
  • ритейл (51 жертва);
  • государственные учреждения (39 жертв);
  • здравоохранение (38 жертв);
  • строительство (30 жертв).

Наиболее опасными шифровальщиками названы Maze и REvil — с конца 2019 года по конец ноября 2020-го на них приходится более 50% успешных атак. За ними идут Ryuk, NetWalker, DoppelPaymer.

Согласно оценкам Group-IB, за последний год к концу ноября 2020-го публично известно о более чем 500 публичных атаках шифровальщиков на компании в более чем 45 странах мира.

В исследовании отмечается, что катализатором роста атак таких вирусов стали приватные и публичные партнерские программы, что привело к опасному симбиозу вымогателей со злоумышленниками, которые специализируются на компрометации корпоративных сетей. Еще одной причиной их роста становится то, что используемые компаниями средства кибербезопасности «пропускают» шифровальщиков, не справляясь с обнаружением и блокировкой угроз на ранней стадии. Операторы шифровальщиков выкупают доступ и атакуют жертву.[31]

Свыше 1 млрд долларов — суммарный ущерб от «шифровальщиков»

Компания Group-IB, международная компания, специализирующаяся на предотвращении кибератак, исследовала ключевые изменения, произошедшие в сфере киберпреступлений в мире и 25 ноября 2020 года поделилась своими прогнозами по развитию киберугроз на 2021 год. Аналитики резюмируют: наибольший финансовый ущерб был зафиксирован вследствие атак вирусов-шифровальщиков. Итогом тяжелого периода для мировых экономик стал расцвет рынка продажи доступов в скомпрометированные сети компаний. Вместе с тем, более чем в два раза вырос объем рынка по продаже краденых банковских карт. В гонке противостояния проправительственных хакерских групп появились новые игроки, а считавшиеся сошедшими со сцены — возобновили атакующие действия.

Согласно отчету Hi-Tech Crime Trends 2020-2021, конец 2019 и весь 2020 год захлестнула новая волна программ-шифровальщиков. Большинство вымогателей сфокусировались на атаках компаний коммерческого и государственного секторов. Жертвой таких атак может стать любая компания, независимо от масштабов и отрасли, главный критерий для атакующих — финансовая выгода. При этом при отсутствии необходимого технического инструментария и возможностей восстановления данных, атака шифровальщика может привести не только к простою, но и к полной остановке деятельности организации.

Всего за последний год публично известно о более чем 500 публичных атаках шифровальщиков на компании в более чем 45 странах мира. Нижняя граница суммарного ущерба от действий программ-вымогателей, по оценкам Group-IB, составляет более одного миллиарда долларов ($1 005 186 000). Однако реальный ущерб многократно выше: зачастую пострадавшие компании предпочитают замалчивать инцидент, заплатив вымогателям, либо атака не сопровождается публикацией данных из сети жертвы.

Наиболее популярными целями вымогателей были компании из США: на них пришлось около 60% всех известных атак. Доля атак в странах Европы составила около 20%. Порядка 10% пришлось на страны Северной и Южной Америки (за исключением США) и Азии (7%). В топ-5 наиболее атакуемых отраслей входят производство (94 жертвы), ритейл (51 жертвы), государственные учреждения (39 жертвы), здравоохранение (38 жертв), строительство (30 жертв).

Наиболее опасными шифровальщиками с конца 2019 года являются Maze и REvil — на них приходится более 50% успешных атак. Во втором эшелоне идут Ryuk, NetWalker, DoppelPaymer.

Стимул для расцвета эры шифровальщиков дали приватные и публичные партнерские программы, что привело к опасному симбиозу вымогателей со злоумышленниками, которые специализируются на компрометации корпоративных сетей. Операторы шифровальщиков выкупают доступ и атакуют жертву. После того как та выплачивает выкуп, процент от этой суммы получает партнер. Исследователи выделяют такие векторы взлома сетей, как вредоносные рассылки, подбор паролей к интерфейсам удаленного доступа (RDP, SSH, VPN), вредоносное ПО (например, загрузчики), а также использование новых типов бот-сетей (брутфорс ботнет), назначение которых — распределенный подбор паролей с большого количества зараженных устройств, в том числе серверов.

По информации Group-IB, с конца 2019 года вымогатели взяли на вооружение следующую технику: перед шифрованием они копируют всю информацию компании-жертвы на свои серверы с целью дальнейшего шантажа. Если жертва не заплатит выкуп, она не только потеряет данные, но и увидит их в открытом доступе. В июне 2020 года REvil начали проводить аукционы, где в качестве лотов выступали украденные данные.

В отчете Hi-Tech Crime Trends 2020-2021 приводятся рекомендации по противодействию атакам шифровальщикам, как в части технологических мер для служб информационной безопасности, так и в части повышения экспертизы команд кибербезопасности в целях борьбы с этой угрозой.

С другими выводами Group-IB, собранными в рамках отчета Hi-Tech Crime Trends 2020-2021, можно ознакомиться в рамках специализированных статьях TAdviser:

  • Уходящий год показал, что все чаще шпионаж сменяется активными попытками уничтожения объектов инфраструктуры. Арсенал атакующих активно пополняется инструментами для атак на физически изолированные сети объектов критической инфраструктуры. Читать далее - здесь.
  • Объем продаваемых на даркнет-форумах доступов к корпоративным сетям компаний увеличивается ежегодно, однако пик пришелся на 2020 год. Оценить общий объем рынка продажи доступов в андеграунде достаточно сложно: злоумышленники часто не публикуют цены, а сделки происходят «в привате». Читать далее - здесь.
  • Объем рынка кардинга за исследуемый период вырос на 116% — с $880 млн до $1,9 млрд — по сравнению с 2019 годом. Высокие темпы роста характерны как для текстовых данных (номер, дата истечения, имя держателя, адрес, CVV) и дампов (содержимое магнитных полос карт). Читать далее здесь.

  • В анализируемый период было выявлено и заблокировано на 118% больше фишинг-ресурсов, чем ранее. Аналитики объясняют этот рост несколькими причинами, главная из которых — пандемия. Читать далее - здесь.

В целом отчет Hi-Tech Crime Trends 2020-2021 исследует разные аспекты функционирования киберкриминальной индустрии, анализирует атаки и прогнозирует изменение ладшафта угроз для различных отраслей экономики: финансовой, телекоммуникационной, ритейла, производства, энергетики. Также авторы отчета анализируют кампании, развернутые против объектов критической инфраструктуры, которые все чаще становятся целью для спецслужб разных государств.

Hi-Tech Crime Trends 2020-2021 предназначен для экспертов по риск-менеджменту, специалистов по стратегическому планированию задач в области кибербезопасности, представителей советов директоров, отвечающих за цифровые трансформации и инвестирование в защиту информационных систем. Для ИТ-директоров, руководителей команд кибербезопасности, SOC-аналитиков, специалистов по реагированию на инциденты отчет Group-IB является практическим руководством стратегического и тактического планирования, предлагая аналитические инструменты, которые помогают корректировать и настраивать системы безопасности корпоративных и государственных сетей.

Прогнозы и рекомендации Hi-Tech Crime Trends 2020-2021 направлены на сокращение финансовых потерь и простоев инфраструктуры, а также на принятие превентивных мер по противодействию целевым атакам, шпионажу и кибертеррористическим операциям.

Атака вируса-вымогателя на Software AG

10 октября 2020 года стало известно о том, что немецкая технологическая компания Software AG подверглась масштабной атаке вируса-вымогателя. Хакеры потребовали выкуп в размере $23 млн после кражи данных о сотрудниках, а также документов компании. Подробнее здесь.

Атака вируса-вымогателя на немецкую больницу

В середине сентября 2020 года стало известно, что из-за атаки вируса-вымогателя впервые погиб человек. После кибератаки на немецкую больницу с использованием программы-вымогателя пациентов пришлось срочно перевести в другое медучреждение. Во время транспортировки одна из пациенток скончалась. Подробнее здесь.

Атака вируса-вымогателя на чилийский BancoEstado

В начале сентября 2020 года BancoEstado, один из трех крупнейших банков Чили, был вынужден закрыть все отделения после атаки вируса-вымогателя. Подробности атаки не разглашаются, но источник, близкий к расследованию, сообщил, что внутренняя сеть банка была заражена вирусом REvil (Sodinokibi). Подробнее здесь.

Атака вируса-вымогателя на украинскую ИТ-компанию SoftServe

В начале сентября 2020 года стало известно об атаке вируса-вымогателя на SoftServe. В результате кибернападения системы одной из крупнейших украинских ИТ-вышли из строя. Подробнее здесь.

Кража данных испанской Adif в результате атаки хакеров REvil

25 июля 2020 года стало известно об атаке вируса-вымогателя на испанскую железнодорожную госкомпанию Adif, в задачи которой входит управление железнодорожной инфраструктурой и взимание оплаты с операторов. В результате нападения было украдено 800 Гбайт данных. Подробнее здесь.

Кража данных Orange Business Services в результате атаки хакеров Nefilim

16 июля 2020 года стало известно об атаке-вируса вымогателя на системы Orange. Злоумышленникам удалось похитить данные клиентов. Подробнее здесь.

Производитель банкоматов Diebold Nixdorf подвергся атаке вируса-вымогателя

11 мая 2020 года стало известно об атаке вируса-вымогателя на компанию Diebold Nixdorf, что привело к сбою в работе некоторых систем компании. Подробнее здесь.

Вирус-вымогатель атаковал Fresenius и привёл к сбою в производстве

В начале мая 2020 года стало известно, что вирус-вымогатель атаковал Fresenius Group и заразил по крайней мере одну из ИТ-систем компании. Подробнее здесь.

Строительный гигант из Франции Bouygues Construction стал жертвой вируса-вымогателя

В начале февраля 2020 года одна из крупнейших строительных компаний Франции Bouygues Construction подтвердила, что стала жертвой вируса-вымогателя, обнаруженного во внутренней сети компании 30 января. Подробнее здесь

2019

Group-IB назвала топ-3 вымогателей года

2 июня 2020 года стало известно о том, что количество атак вирусов-шифровальщиков в 2019 году по сравнению с 2018 годом возросло на 40%, в то время как размер среднего требуемого выкупа взлетел в разы, говорится в опубликованном исследовании Group-IB «Программы-вымогатели: методы атак шифровальщиков». По данным Лаборатории компьютерной криминалистики Group-IB, самыми «жадными» шифровальщиками стали семейства Ryuk, DoppelPaymer и REvil. Поскольку тактики и инструменты операторов шифровальщиков эволюционировали до сложных техник, которые раньше отличали в первую очередь хакерские APT-группы, а их цели сместились в корпоративный сектор, 2020 год может установить антирекорд по количеству атак и размеру ущерба.

Как сообщалось, после сравнительного затишья в 2018-м году, в 2019-м году вирусы-шифровальщики попытались взять реванш: количество атак с использованием вымогателей возросло на 40%. Жертвами оказывались крупные цели — муниципалитеты, корпорации, медицинские учреждения, а средний размер требуемого выкупа резко взлетел с $8 000 в 2018-м до $84 000. По данным Group-IB, самыми агрессивными и жадными шифровальщиками в 2019 году были семейства Ryuk, DoppelPaymer и REvil — их единовременные требования о выкупе достигали $800 000.

В 2019-м году операторы шифровальщиков стали использовать некоторые тактики, техники и процедуры (TTPs), характерные для APT-групп. Одним из заимствованных приемов, стала выгрузка важных для жертвы данных перед их шифрованием. В отличие от APT-групп, использующих эту технику для шпионажа, операторы вымогателей выгружали информацию, чтобы увеличить свои шансы получить выкуп. Если их требования не выполнялись, они оставляли за собой возможность заработать, продав конфиденциальную информацию в даркнете. Таким методом пользовались операторы семейств REvil, Maze и DoppelPaymer.

Частой практикой среди злоумышленников стало использование банковских троянов на этапе первичной компрометации сети: в 2019 году экспертами Group-IB было зафиксировано использование большого числа троянов в кампаниях шифровальщиков, в том числе троянов Dridex, Emotet, SDBBot и Trickbot.

В 2019-м году большинство операторов шифровальщиков стали использовать инструменты, которые применяются специалистами по кибербезопасности во время тестов на проникновение. Так, операторы шифровальщиков Ryuk, Revil, Maze и DoppelPaymer активно прибегали к таким инструментам как Cobalt Strike, CrackMapExec, PowerShell Empire, PoshC2, Metasploit и Koadic, которые позволяли им не только провести разведку в скомпрометированной сети, но и закрепиться в ней, получить привилегированные аутентификационные данные и даже полный контроль над доменами Windows.

В целом, как отмечают эксперты, в 2019 году операторы вымогателей вышли на следующий уровень — их действия больше не ограничивались лишь шифрованием файлов. Все больше злоумышленников начали продвигать программы-шифровальщики как услугу RaaS (Ransomware-as-a-Service) и сдавать вымогателей «в аренду» в обмен на часть выкупа.

В 2019-м году в топ-3 векторов первичной компрометации сети, с которых начинались атаки, вошли фишинговые рассылки, заражение через внешние службы удаленного доступа, прежде всего через Remote Desktop Protocol (RDP), и атаки drive-by.

Фишинговые письма остались одним из наиболее распространенных векторов первичной компрометации, чаще всего в таких письмах прятались вымогатели Shade и Ryuk. Кампании финансово-мотивированной группы TA505, распространявшие шифровальщик Clop, часто начинались с фишингового письма, содержащего зараженное вложение, которое, среди прочего, загружало один из троянов (FlawedAmmyy RAT или SDBBot).

В 2019 году количество доступных серверов с открытым портом 3389 превысило 3 миллиона, большинство из них были расположены в Бразилии, Германии, Китае, России и США. Интерес к этому вектору компрометации, наиболее часто задействованному операторами Dharma и Scarab, подогрело обнаружение пяти уязвимостей службы удаленного доступа, ни одна из которых, однако, не была успешно проэксплуатирована в атаках шифровальщиков.

В 2019-м году атакующие также нередко использовали зараженные сайты для доставки вымогателей. После того, как пользователь оказывался на таком сайте, он перенаправлялся на страницы, которые пытались скомпрометировать устройства пользователя, воспользовавшись, например, уязвимостями в браузере. Наборы эксплоитов, которые чаще всего использовались в таких атаках — RIG EK, Fallout EK и Spelevo EK.

Некоторые злоумышленники, в том числе операторы шифровальщиков Shade (Troldesh) и STOP, сразу шифровали данные на первоначально скомпрометированных устройствах, в то время как многие другие, в том числе операторы Ryuk, REvil, DoppelPaymer, Maze и Dharma, не ограничивались лишь этим и собирали информацию о скомпрометированной сети, двигаясь вглубь и компрометируя целые сетевые инфраструктуры.

Полный список тактик, техник и процедур, упомянутых в отчете приведен в таблице ниже, которая построена на основе матрицы MITRE ATT&CK — публичной базе знаний, в которой собраны тактики и техники целевых атак, применяемые различными группировками киберпреступников. Они расположены в порядке от самых популярных (выделены красным) до наименее популярных (выделены зеленым).

Таблица TTPs операторов шифровальщиков, построенная на базе матрицы MITRE ATT&CK
«
В 2019-м году операторы шифровальщиков значительно усилили свои позиции, выбирая более крупные цели и увеличивая свои доходы, и есть все основания полагать, что в 2020 году их результаты будут еще более высокие. Операторы вымогателей продолжат расширять пул своих жертв, фокусируясь на крупных индустриях, у которых больше ресурсов, чтобы удовлетворить их аппетиты. Возросшая активность шифровальщиков ставит бизнес перед выбором: либо инвестировать средства в свою кибербезопасность, чтобы сделать свою инфраструктуру недосягаемой для злоумышленников, либо рискнуть столкнуться с требованием выкупа для дешифровки файлов и поплатиться за изъяны в кибербезопасности.

рассказал Олег Скулкин, ведущий специалист Лаборатории компьютерной криминалистики Group-IB
»

Несмотря на возросший масштаб кампаний шифровальщиков, им можно противостоять, реализуя необходимые меры предосторожности. Они в числе прочего включают подключение к серверам по RDP только с использованием VPN, создание сложных паролей для учетных записей, использующихся для доступа по RDP, и их регулярную смену, ограничение списка IP-адресов, с которых могут быть инициированы внешние RDP-соединения и др.

Шифровальщик, написанный на языке PureBasic, атакует Windows- и Linux-серверы

18 ноября 2019 года стало известно, что эксперты компании Intzer и подразделения IBM X-Force IRIS team опубликовали анализ шифровальщика PureLocker, характеризующегося целым рядом нетипичных для программ подобного рода особенностей. Шифровальщик атакует прежде всего корпоративные серверы под управлением Windows и Linux.

Обращает на себя внимание язык программирования, на котором он написан, - PureBasic. Это далеко не самый распространённый язык программирования; с другой стороны он, во-первых, кросс-платформенный, во-вторых, как ни странно, многие антивирусы с трудом справляются с написанными на нём программами.

«
Необычный выбор обеспечивает злоумышленникам ряд преимуществ, - пишут исследователи. - Вендоры антивирусных продуктов с трудом справляются с генерацией надёжных сигнатур для бинарных файлов PureBasic. Вдобавок, код PureBasic легко портируется на Windows, Linux, OS X, что упрощает атаки на различные платформы,
»

PureBasic поддерживает даже AmigaOS.

К нетипичным для шифровальщикам особенностям исследователи отнесли также его механизмы противодействия обнаружению.

Например, этот вредонос пытается избежать перехвата функций API функций NTDLL посредством скачивания другой копии ntdll.dll и разрешения API-адресов из неё. Перехват API позволяет антивирусным системам видеть, что именно делает каждая функция, которую вызывает программа, когда и с какими параметрами.

Исследователи отметили, что это распространённая методика ухода от обнаружения, но шифровальщики ей пользуются весьма редко.

Кроме того, вредонос вызывает утилиту Windows regsrv32.exe для «тихой» установки библиотечного компонента PureLocker - никаких диалоговых окон пользователю не выводится.

Позднее шифровальщик проверяет, что действительно был произведён запуск regsrv32.exe, что файловое расширение - .dll Или .ocx; кроме того, он проверяет, установлен ли на машине 2019 год и наличие административных прав у жертвы. Если хоть одно условие не выполнено, вредонос деактивируется и не производит никаких действий.

По мнению экспертов, такое поведение нетипично для шифровальщиков, которые обычно не проявляют особой избирательности; наоборот, они стремятся заразить как можно больше машин.

Если же шифровальщика «всё устраивает», он начинает зашифровывать файлы на машине жертвы, используя комбинацию алгоритмов AES+RSA, используя вшитый в него RSA-ключ. Все зашифрованные файлы снабжаются расширением .CR1, а оригинальные файлы уничтожаются. Оставив сообщение с требованием выкупа, файл шифровальщика самоуничтожается.

Здесь ещё одна неожиданность: в сообщении от злоумышленников сумма выкупа не называется. Каждой жертве предлагается написать на уникальный адрес в сервисе защищённой почты Proton - с целью переговоров.

Эксперты считают, что PureLocker - это лишь один этап комплексной цепочки заражения.

При анализе кода исследователи обнаружили в коде PureLocker заимствования из кода бэкдора more_eggs, который в даркнете предлагается в формате MaaS (вредонос-как-услуга). Им активно пользуются финансовые киберкриминальные группировки Cobalt Group и FIN6.

Заимствования в коде, указывающие на связь с Cobalt Group, относятся к конкретному компоненту, которым Cobalt пользуются при своих многоступенчатых атаках, - DLL-дропперу, используемому для защиты от обнаружения и анализа. Эксперты считают, что разработчик more_eggs добавил очередной набор вредоносных программ к арсеналу, который предлагается другим киберпреступным группировкам, снабдив прежний бэкдор функциональностью шифровальщика.

«
Решение это не лишено даже некоторого изящества. Проще добавить «неожиданную» функцию к уже существующему набору и сделать вредонос ещё более опасным, чем писать с нуля шифровальщик узконаправленного действия, который умеет противиться обнаружению и анализу. Для потенциальных жертв, однако, это «изящество» сулит только ещё большие неприятности, чем раньше. Функция шифровальщика, по-видимому, предназначена буквально для добивания жертвы, которую злоумышленники успевают ограбить ранее с помощью других своих программ,
считает Анастасия Мельникова, эксперт по ИБ компании SEQ (ранее SEC Consult Services)[32]
»

Атака вируса-вымогателя на мексиканскую нефтяную компанию Pemex

11 ноября 2019 года Pemex сообщила об атаке вируса-вымогателя на свои компьютеры, в результате которой мексиканская государственная нефтегазовая группа вынуждена была прекратить административную работу. Подробнее здесь.

Атака вируса-вымогателя на испанские компании по всей стране

В начале ноября 2019 года направленные атаки вируса-вымогателя вывели из строя две испанские компании в один день: крупную фирму Everis, принадлежащую NTT Data Group и работающую в сфере ИТ-услуг и консалтинга, а также радиокомпанию Sociedad Española de Radiodifusión (Cadena SER). Атака хакеров вызвала настоящую панику в СМИ, так как многие компании вспомнили эпидемию WannaCry. Технический специалист одной фирмы признался испанской телекомпании ABC: «Мы в настоящей истерике». Подробнее здесь.

Атака вируса-вымогателя на финансовый центр ЮАР

24 октября 2019 года в ходе целенаправленной кибератаки хакеры взломали компьютерную сеть города Йоханнесбург (ЮАР). Они заблокировали данные городской администрации и обещали вернуть их только после выплаты выкупа. Подробнее здесь.

Жители Йоханнесбурга остались без электричества из-за вируса-вымогателя

25 июля 2019 года жители финансовой столицы ЮАР Йоханнесбург остались без электричества из-за вируса-вымогателя - вредоносной программы, которая блокирует доступ к компьютерным системам или файлам до тех пор, пока не будет удовлетворено требование хакера. Вирус заблокировал все базы данных, приложения и ИТ-сети главной энергокомпании города City Power, оставив без электричества практически весь Йоханнесбург. Подробнее здесь.

Вирус-вымогатель остановил производство деталей для самолётов на заводах в четырёх странах

В середине июня 2019 года ASCO Industries, один из крупнейших в мире поставщиков запчастей для авиационной техники, прекратил производство на заводах в четырех странах из-за вируса-вымогателя, появившегося на производственной площадке в Завентеме, Бельгия. Подробнее здесь.

2017

Интерпол выяснит, кто стоит за атаками Bad Rabbit

Group-IB, международная компания по предотвращению и расследованию киберпреступлений и мошенничеств с использованием высоких технологий, 2 ноября 2017 года объявила об обнаружении цифровых следов злоумышленников, причастных к атаке вируса-шифровальщика Bad Rabbit, который атаковал редакции ряда федеральных российских СМИ и финансовые организации, а также объекты инфраструктуры на Украине (метрополитен, аэропорт, Министерство инфраструктуры).

Нобору Накатани и Илья Сачков подписали соглашение о сотрудничестве между Интерполом и Group-IB

В соответствии соглашением об обмене информацией, недавно подписанным между Интерполом и Group-IB, эти данные переданы специальному подразделению международной полиции, курирующему расследования киберпреступлений, Interpol Global Complex for Innovation. Соглашение подразумевает взаимный обмен информацией для более эффективного противодействия киберпреступности. В частности, организации будут следить за изменениями тенденций в киберпространстве, появлением новых угроз и развитием существующих, а также распространением вредоносных программ.

По итогам технического анализа вируса-шифровальщика Bad Rabbit эксперты Group-IB получили информацию об источнике и способах распространения вредоносной программы, проанализировали ее структуру и функции и пришли к выводу, что за Bad Rabbit и эпидемией вируса NotPetya, атаковавшего в июне 2017 года энергетические, телекоммуникационные и финансовые компании на Украине, стоит одна и та же группа хакеров. В ходе исследования специалисты обнаружили цифровые следы, которые позволят установить конкретных лиц, причастных к этой атаке. Часть данных со взломанных сайтов передавалась на сервер, который был скомпрометирован с помощью тех же техник, которая использовала северокорейская прогосударственная группа хакеров Lazarus. Для проведения полноценного расследования информация была передана в подразделение Интерпола.

«
Для того чтобы эффективно бороться с современными киберугрозами, необходимо выстраивать государственно-частное партнерство, — считает Нобору Накатани (Noboru Nakatani), исполнительный директор Interpol IGCI. — Соглашение, подписанное между Интерполом и Group-IB — это важный шаг в организации процесса предоставления правоохранительным органами по всему миру информации, необходимой им для работы в условиях сложного ландшафта и многообразии киберугроз.
»

Вымогатель Locky поразил 11,5% организаций по всему миру

Компания Check Point Software Technologies в сентябре 2017 года зафиксировала значительное увеличение числа атак Locky. По результатам Global Threat Impact Index, вымогатель поразил 11,5% организаций во всем мире.

Locky не появлялся в десятке самых активных зловредов с ноября 2016 года, но в сентябре 2017 года стремительно поднялся, оказавшись на втором месте при помощи ботнета Necurs, который тоже вошел в рейтинг, заняв 10 место. Эти атаки подняли Locky на 25 мест, выше оказался только рекламный зловред RoughTed.

Для справки: Locky начал распространяться в феврале 2016 года и быстро стал одним из самых активных в мире вредоносных семейств. В основном он распространяется через спам-письма, содержащие загрузчик с вредоносными макросами, замаскированный под вложение Word или Zip. Когда пользователи активируют эти макросы — обычно под действием социальной инженерии, приложение загружает и устанавливает вредоносное ПО, которое шифрует файлы. Сообщение направляет пользователя на загрузку браузера Tor и открывает веб-страницу с требованием оплаты выкупа в биткойнах. В июне 2016 года ботнет Necurs выпустил обновленную версию Locky, содержащую расширенный набор методов для обхода обнаружения.

По мнению экспертов Check Point, возрождение Locky показывает, что компании не могут быть спокойны, пока вредоносное ПО существует. Мощные ботнеты могут вдохнуть "вторую жизнь" в старые варианты зловредов, позволяя им быстро поражать пользователей по всему миру. Тот факт, что в сентябре 2017 года каждая десятая организация во всем мире была поражена хотя бы одним видом вымогателей, говорит о том, что существующие вредоносные программы могут быть так же опасны, как и абсолютно новые варианты, подчеркнули в компании.

Топ-10 самых активных зловредов сентября 2017 по версии Check Point

  1. RoughTed — крупномасштабная кампания вредоносной рекламы, используется для переадресации пользователей на зараженные сайты и загрузки мошеннических программ, эксплойт-китов и программ-вымогателей. Зловред может быть использован для атаки на любые типы платформ и операционные системы; способен обходить блокировку рекламы.
  2. Locky — вымогатель, распространяется в основном с помощью спам-писем, содержащих загрузчик, замаскированный под вложение Word или Zip, которое затем загружает и устанавливает вредоносное ПО, шифрующее файлы пользователя.
  3. Globeimposter — вымогатель, замаскированный под шифровальщик Globe ransomware. Был обнаружен в мае 2017 года и распространялся с помощью спам-кампаний, вредоносной рекламы и эксплойт-китов. После шифрования программа добавляет расширение .crypt к каждому зашифрованному файлу.
  4. Conficker — червь, позволяющий злоумышленникам удаленно выполнять операции в системе жертвы и загружать вредоносное ПО. Зараженная машина контролируется ботнетом.
  5. Fireball — зловред ("угонщик браузера"), без ведома пользователя подменяющий стартовую страницу интернет-браузера, легко модернизируется до полнофункционального загрузчика вредоносного ПО.
  6. Pushdo — троян, который применяется для инфицирования системы жертвы с последующей загрузкой спам-модуля Cutwail, а также для загрузки стороннего вредоносного ПО.
  7. Zeus — банковский троян, который посредством атаки «Человек-в-браузере» крадёт данные банковских карт и учетные данные жертвы, используемые для проведения финансовых операций.
  8. Rig ek — набор эксплоитов, впервые обнаруженный в 2014 году. Содержит эксплоиты для Flash, Java, Silverlight и Internet Explorer (браузер). Цепь заражений начинается с перенаправления на landing page (от англ. landing page — посадочная страница), содержащую JavaScript, который проверяет систему жертвы на предмет наличия уязвимых плагинов и при обнаружении таковых — внедряет эксплоит.
  9. Ramnit — банковский троян, нацеленный на похищение банковских реквизитов, FTP-паролей, сеансовых куки и персональной информации жертвы.
  10. Necurs — ботнет, применяемый для распространения вредоносного ПО путем спам-рассылок средствами электронной почты. В основном замечен за продвижением программ-вымогателей и банковских троянов.


HackerDefender — пользовательский руткит для Windows, который был третьим по распространенности вредоносным ПО в августе 2017 года, покинул первую десятку.

Топ-3 самых активных мобильных зловредов по версии Check Point

  1. Triada — модульный бэкдор для Android, который дает огромные привилегии скачанным зловредам, поскольку помогает им внедриться в системные процессы. Triada также был замечен в подмене URL-адресов, загруженных в браузере.
  2. Hiddad — зловред для Android, который переупаковывает легитимные приложения и затем реализует их в магазинах сторонних производителей. Его главная функция — показ рекламы, однако он также может получить доступ к ключевым настройкам безопасности, встроенным в операционную систему, что позволяет злоумышленнику получить конфиденциальные данные пользователя.
  3. Lotoor — хакерский инструмент, использующий уязвимости в операционных системах Android, чтобы получить root-доступ на взломанных мобильных устройствах.

Исследование Positive Technologies

Эксперты Positive Technologies отмечают, что во II квартале 2017 года продолжают набирать популярность сервисы «вымогатели как услуга» по сдаче троянов в аренду. США и Россия по-прежнему наиболее частые жертвы кибератак, однако во II квартале 2017 года больше четверти атак (28%) были масштабными и затронули одновременно десятки стран и сотни (в отдельных случаях тысячи) компаний.

По статистике Positive Technologies, 67% атак были совершены с целью получения прямой финансовой выгоды. При этом больше половины атак носили массовый характер и использовали преимущественно вредоносное программное обеспечение.

Эпидемия вируса-вымогателя WannaCry (WanaCypt0r, WCry) показала, что стать жертвой атаки можно даже если не открывать подозрительные письма и не кликать по ссылкам в них. По данным Intel, общее количество зараженных компьютеров превысило 530 тысяч. На биткойн-кошельки разработчиков WannaCry от жертв поступило более 50 BTC (128 000 долл. США), при этом общий ущерб компаний составил более миллиарда долларов.

Другая масштабная вредоносная кампания в конце июня была вызвана шифровальщиком NotPetya (также известным под именами ExPetr, PetrWrap, Petya, Petya.A и др.). Отличительной чертой этой эпидемии было то, что целью преступников не была финансовая выгода, они не стремились рассылать ключ восстановления в обмен на выплаты. ВПО распространялось для вывода из строя информационных систем, уничтожения файлов и саботажа. Более 40 жертв заплатили выкуп на общую сумму, эквивалентную 10 000 долл. США.

Тренд «вымогатели как услуга» (ransomware as a service) набирает обороты. Появляются новые сервисы по сдаче троянов в аренду: например, дистрибьютор Petya или Mischa получает от 25% до 85% от суммы платежей жертв, а другой троян-шифровальщик Karmen продается на черном рынке за 175 долларов.

Пока одни злоумышленники предпочитают криптовалюту для получения незаконных доходов (жертвам троянов-шифровальщиков предлагается перечислять деньги на биткойн-кошельки), другие атакуют криптовалютные биржи и счета их клиентов. Например, получив доступ к персональным данным 31 800 пользователей южнокорейской биржи Bithumb, злоумышленники затем смогли получить доступ и к их счетам. Потери от этой атаки оценили в 1 миллиард вон (890 000 долл. США). В ходе другой атаки, на Tapizon, злоумышленники получили доступ к четырем кошелькам и в общей сложности похитили около 3816 биткойнов (5,3 млн долл. США).

Аналитики отмечают появление новых нестандартных цепочек проникновения в целевую систему. Например, группировка Cobalt использовала произвольные уязвимые сайты в качестве хостинга для вредоносного ПО. Члены группировки APT10 в ходе целевых атак сначала получали доступ в корпоративные сети провайдеров облачных сервисов, а затем по доверенным каналам проникали в сеть организаций-жертв.

Жертвы вирусов-вымогателей выплатили более $25 млн с 2014 года

Компания Google совместно с Chainalysis, Калифорнийским университетом Сан-Диего и Политехническим институтом Нью-Йоркского университета подсчитали сумму, выплаченную жертвами создателям вирусов–вымогателей. Об этом сообщает издание The Verge[33].

Исследователи проанализировали 34 семейства вирусов–вымогателей, работающих с 2014 года. Больше всего дохода принес вирус-вымогатель Locky, жертвы выплатили разработчикам более $7 млн. Заработок разработчиков шифровальщиков Cerber сотавил $6,9 млн, а CryptXXX - $1,9 млн.

Исследователи отмечают, что создатели вирусов-вымогателей научились обходить антивирусную защиту. После идентификации вредоносного приложения в антивирусное ПО добавляется сигнатура для обнаруженного вредоноса. Однако, современные образцы вирусов способны модифицировать собственный бинарный код, и таким образом, обходить антивирусную защиту, основанную на сигнатурах.

Украинских пользователей атакует новый шифровальщик, выдающий себя за WannaCry

В конце июня 2017 года украинские пользователи стали объектом уже четвёртой за полтора месяца кампании по распространению троянцев-шифровальщиков. Новая вымогательская программа пытается выдавать себя за печально известный WannaCry, но на деле не имеет к нему никакого отношения. [34]

В течение мая-июня на территории Украины были отмечены три вредоносные кампании: XData, PSCRypt, NotPetya. И вот теперь появилась некая новая программа, пока не получившая названия.

В конце июня 2017 года украинские пользователи стали объектом уже четвёртой за полтора месяца кампании по распространению троянцев-шифровальщиков

Она выводит на экран требование о выкупе, идентичное тому, что выводил WannaCry, но этим сходство и ограничивается. Как указывают исследователи, проводившие анализ программы, она написана на .NET, а не на С, как WannaCry; его внутренняя структура не имеет ничего общего со структурой WannaCry, и, кроме того, программа не использует никаких знаменитых эксплойтов, созданных американскими спецслужбами для распространения.

Обычно использование .NET для создания вредоносного ПО - это признак невысокой квалификации программиста. В данном случае, как написал эксперт по безопасности, скрывающийся под ником MalwareHunter, авторы вредоносной программы в высшей степени компетентны, а их творение – «возможно, один из лучших примеров шифровальщика на .NET, который мы видели».

Программа заражает систему через дроппер, который локально распаковывает и сохраняет два разных файла. В одном - требование о выкупе, во втором - сам шифровальщик.

Программа управляет спрятанным в сети Tor контрольным сервером и запускается, судя по всему, только после получения команды с него. Троянец также отключает процессы приложений, чьи файлы собирается шифровать, - данная функция, как отмечает исследователь, уникальна. [35]

В материале Bleeping Computer авторы обращают внимание на странную тенденцию: во всех четырёх кампаниях используется ПО, которое пытается выдавать себя за что-то иное. Например, XData - это в действительности слегка переработанный шифровальщик AES-NI, PSCrypt - переделанный GlobeImposter, появившийся в апреле этого года. NotPetya выдавал себя за Petya, но оказался не шифровальщиком, а вайпером - восстановить доступ к файлам было невозможно даже после выплаты выкупа. И вот теперь ещё один шифровальщик, который выдаёт себя за нечто иное. Что это означает и являются ли все эти совпадения случайными - предмет дискуссионный.

Корейский хостинг-провайдер Nayana согласился заплатить $1 млн кибервымогателям

14 июня 2017 года южнокорейская компания Nayana, предоставляющая услуги хостинга, объявила, что согласилась заплатить хакеру, парализовавшему 150 серверов компании, в результате чего оказались недоступны более трех тысяч клиентских веб-сайтов.

«
Мы завершили переговоры с хакером и теперь готовим деньги для покупки биткоинов, чтобы восстановить работу зашифрованных серверов, — приводит слова гендиректора Nayana Хвана Чилхона (Hwang Chil-hong) издание The Korea Herald.
»

Южнокорейская компания Nayana, предоставляющая услуги хостинга, объявила, что согласилась заплатить хакеру, парализовавшему 150 серверов компании, в результате чего оказались недоступны более трех тысяч клиентских веб-сайтов

Nayana намерена заплатить около $1,1 млн в биткоинах за восстановление данных на серверах, пораженных вредоносным ПО — вирусом-шифровальщиком, который заблокировал хранящиеся на компьютерах файлы.

Как пояснили в Nayana, решение о выплате было принято, чтобы спасти 3400 сайтов своих клиентов, большинство из которых являются небольшими компаниями и стартапами.

В интервью местным СМИ глава Nayana посетовал, что у компании нет другого выбора, кроме как выполнить требования.

«
Мы понимаем, что не должны платить выкуп, но иначе ущерб будет нанесен сотням тысяч людей из компаний, которые мы обслуживаем, — заявил он.
»

Однако специалисты в области информационной безопасности (ИБ) считают, что своими действиями Nayana создает опасный прецедент. Увидев успех «коллег», другие злоумышленники могут активизировать кибератаки на Корею в погоне за легкими деньгами, предупреждают ИБ-эксперты.

Выкуп Nayana в $1,1 млн почти в 1000 раз больше средней суммы, которые платили жертвы кибервымогателям в 2016 году. По данным Symantec, злоумышленники, шифрующие данные с помощью вредоносного ПО, в среднем требовали у пользователей $1077.

У Nayana нет никаких гарантий того, что, получив деньги, преступник восстановит доступ к файлам. Если даже хакеры не расшифруют данные, компания не сможет ничего предпринять, отмечают специалисты.

Эксперты призвали корейские власти сделать все возможное, чтобы поймать злоумышленников и не допустить подобных атак в будущем.[36]

Глобальная хакерская атака WannaCry 12 мая

Вирус-вымогатель WannaCry начал распространяться 12 мая, затронул 74 страны мира, на компьютеры было совершено более 45 тыс. попыток занести вирусы, которые шифровали все файлы. За дешифровку мошенники требуют $600. Он блокирует компьютер и требует 300 долларов за разблокировку. Десятки тысяч заражений зарегистрировали в 99 странах, в том числе в России, где жертвами стали «Мегафон», МВД и СК РФ. В других странах пострадали телекоммуникационные компании, банки, консалтинговые фирмы. В Великобритании из строя вышли компьютеры системы здравоохранения.

Исследование "Лаборатории Касперского"

Согласно наблюдениям специалистов «Лаборатории Касперского», жертвами программ-вымогателей все чаще становятся не частные пользователи, а компании и финансовые учреждения: на сегодня компании известны по меньшей мере восемь кибергруппировок, занимающихся разработкой троянцев-вымогателей для проведения целевых атак на бизнес. В ряде случаев требуемый выкуп достигает полумиллиона долларов.

По словам экспертов, причина трансформации проста: целевые атаки потенциально более прибыльны, чем массовые нападения на частных пользователей. Успешная атака на компанию может парализовать ее деятельность на несколько часов или даже дней – владельцы бизнеса оказываются просто вынуждены заплатить выкуп.

Схемы и инструменты злоумышленников довольно универсальны. Все кибергруппировки сначала заражают сеть компании вредоносным ПО через уязвимости в серверах или фишинговые письма. Затем атакующие укрепляют свои позиции в сети и определяют наиболее ценные корпоративные ресурсы, за «захват» которых можно получить самый большой выкуп.

Однако у групп есть и уникальные черты: например, троянец Mamba использует свободное ПО для шифрования, которое устанавливается на компьютерах жертв посредством легальной утилиты для удаленного управления системой Windows. А авторы троянца PetrWrap отличаются особенно тщательным выбором жертв и долгой подготовкой к атаке: их скрытое присутствие в сети достигает шести месяцев.

Обнаружена модифицированная версия троянца-шифровальщика Petya

Эксперты «Лаборатории Касперского» обнаружили троянскую программу, которая использует известного шифровальщика Petya для проведения целевых атак на бизнес. Троянец получил название PetrWrap, а его главная особенность заключается в том, что он использует оригинального зловреда без разрешения разработчиков.

Шифровальщик Petya, обнаруженный «Лабораторией Касперского» в 2016 году, — один из наиболее заметных зловредов, распространяемых по модели «вымогатели как услуга» (Ransomware-as-a-Service, RaaS). Авторы распространяют его через многочисленных посредников, получая часть прибыли. Для того чтобы избежать неавторизованного использования шифровальщика, разработчики вставили в его код несколько защитных механизмов, однако создателям PetrWrap удалось их обойти. При этом новый троянец использует собственные ключи шифрования вместо тех, что применяются в Petya по умолчанию, поэтому для расшифровки данных в случае уплаты выкупа PetrWrap также не требуется помощь авторов оригинального вымогателя.

Разработчики PetrWrap выбрали Petya не случайно. Это семейство вымогателей обладает почти безупречным криптографическим алгоритмом, расшифровать который чрезвычайно сложно. В предыдущих версиях программы был найден ряд ошибок, которые несколько раз позволяли экспертам расшифровывать закодированные файлы, однако с тех пор авторы закрыли почти все уязвимости. Кроме того, после заражения устройства этим вымогателем на заблокированном экране отсутствуют какие-либо упоминания зловреда, что существенно усложняет работу экспертам по кибербезопасности.

«Мы наблюдаем очень интересный процесс: киберпреступники стали нападать друг на друга. С нашей точки зрения, это признак растущей конкуренции между различными группировками. Отчасти это хорошо, ведь чем больше времени злоумышленники проводят в борьбе друг с другом, тем менее организованными и эффективными будут их атаки и они сами, — прокомментировал Антон Иванов, старший антивирусный аналитик «Лаборатории Касперского». — В случае с PetrWrap нас беспокоит тот факт, что троянец-шифровальщик используется для целенаправленных атак. Это не первый подобный случай и, к сожалению, наверняка не последний. Мы настоятельно рекомендуем компаниям уделять максимальное внимание защите сетевой инфраструктуры от этого типа угроз, иначе последствия могут быть катастрофическими».

Для защиты организации от целенаправленных атак «Лаборатория Касперского» рекомендует предпринять ряд мер. Сделайте резервную копию всех данных, которую можно будет использовать для восстановления файлов в случае атаки. Используйте защитное решение с технологией детектирования по поведению. Она определяет троянцев любого типа, анализируя их действия в атакованной системе. Это позволяет обнаруживать даже ранее неизвестные зловреды. Проведите комплексную оценку информационной безопасности сети (аудит, тестирование на проникновение, GAP-анализ), чтобы обнаружить и закрыть все лазейки, которыми могут воспользоваться злоумышленники.

Пользуйтесь внешней экспертной оценкой: консультация авторитетных вендоров поможет предвидеть вектор будущих атак. Проведите тренинг по кибербезопасности для сотрудников. Особое внимание стоит уделить инженерно-техническому персоналу, его осведомленности об атаках и угрозах. Обеспечьте защиту как внутри периметра корпоративной сети, так и снаружи. В правильной стратегии безопасности значительные ресурсы выделяются на обнаружение атак и реагирование на них до того, как они достигнут критически важных объектов.

Троянцы-шифровальщики могут уничтожать целые корпорации

Целые компании могут быть уничтожены в результате атаки шифровальщиков-вымогателей, — такой безрадостный прогноз делает генеральный директор компании Sophos Крис Хагерман (Kris Hagerman). Выступая на конференции RSA в Сан-Франциско, он отметил, что сценарий, при котором злоумышленники атакуют банк и требуют выплатить 10 млн долларов, в противном случае угрожая уничтожить все файлы на серверах организации, сегодня уже не выглядит фантастикой.[37]

За последние 12 месяцев уже были случаи, когда организации выплачивали вымогателям огромные суммы за возвращение доступа к своим данным. Например, больница в Лос-Анджелесе призналась, что выплатила около 17 тысяч долларов после того, как её инфраструктура была атакована троянцем-шифровальщиком. В начале этого года администрация муниципального колледжа (также в Лос-Анджелесе) выплатила злоумышленникам 28 тысяч долларов.

Крис Хагерман
«
Не так сложно представить банк, атакованный шифровальщиком, и затем они (злоумышленники) говорят: немедленно платите 10 млн долларов, в противном случае ваши файлы будут уничтожены, - говорит Хагерман. - Это может поставить компании на колени. Во многих организациях есть проблемы с резервным копированием и далеко не все используют весь диапазон защитных средств, необходимый для борьбы с вымогателями.
»

Ситуацию дополнительно осложняет то обстоятельство, что в Сети плодятся сайты, предлагающие всем желающим средства для проведения атак с помощью троянцев-шифровальщиков. Например, сервис Satan предлагает за комиссию организовывать атаки с помощью шифровальщиков каждому, кто знает как пользоваться Tor - The Onion Router, - никаких других специальных технических знаний "клиенту" Satan не требуется.

«
Сегодня можно быть очень успешным киберпреступником, не зная о компьютерном коде ровным счётом ничего. У хакеров тоже есть ROI. Затрудните им заработок, и они пойдут искать другие мишени или другие способы зарабатывать, - отметил Хагерман.
»

Sophos ежедневно отмечает 300-400 тысяч новых вредоносным программ, и каждая из них может представлять серьёзную угрозу для коммерческих компаний, если у тех не налажена защита в достаточной степени.

По мнению Хагермана, единственный способ уберечься от атак - это наладить защиту таким образом, чтобы хакеры предпочли искать другую жертву.

«
Каждая атака, завершившаяся выплатой злоумышленникам требуемой суммы, укрепляет их в сознании прибыльности их бизнеса, и повышает угрозу в целом, - комментирует Дмитрий Гвоздев, генеральный директор компании "Монитор безопасности". - И поскольку всё чаще пострадавшие от вымогателей организации готовы выплачивать пятизначные суммы за возвращение своих данных, легко представить себе, как злоумышленники требуют от какой-нибудь транснациональной корпорации миллионы в качестве выкупа.
»

По словам Гвоздева, крупные утечки персональных данных у транснациональных корпораций, таких как Sony или Yahoo, хорошо показывают насколько велики бывают недостатки безопасности даже в тех организациях, которые могут позволить себе обеспечить максимальную защиту от киберугроз.

Программы-вымогатели для промышленных систем

13 февраля исследователи кибербезопасности из Технологического института Джорджии сообщили о разработке новой, специализированной формы программы-вымогателя, которая была целенаправленно создана для промышленных систем[38].

Это вредоносное ПО и произведенная с его помощью атака на смоделированную водоочистную станцию были призваны показать, как киберпреступники могли бы вывести из строя ключевые сервисы, удовлетворяющие наши важнейшие потребности, такие как электро- и водоснабжение, отопление, вентиляция и кондиционирование воздуха или управление лифтами.

Исследование было представлено на конференции в Сан-Франциско, организованной компанией RSA.

Исследователи рассказали, как они идентифицировали ряд обычных программируемых логических контроллеров (PLC), часто используемых на промышленных предприятиях. Приобретя три различных устройства, исследователи протестировали их уровни безопасности, включая состояние парольной защиты и подверженность вредоносным изменениям.

Затем PLC были подключены к насосам, трубам и резервуарам, чтобы смоделировать водоочистную станцию. Однако вместо хлора, используемого для дезинфекции воды, исследователи применили йод и подмешали в воду крахмал.

Если бы атакующий добавил в воду йод, она окрасилась бы в голубой цвет.

Смоделированная атака с помощью программы-вымогателя, заражающей системы обычными способами через фишинговые сообщения электронной почты и ссылки на вредоносные сайты, закрыла и заперла важнейшие системы. Если бы настоящий атакующий применил программу-вымогателя, чтобы взять станцию в заложники, он мог бы угрожать добавлением в воду опасного для жизни количества хлора, что потенциально могло бы отравить целые города.

Исследователи сумели также атаковать PLC, чтобы закрыть клапаны и фальсифицировать показания датчиков. Изучая доступность этих PLC, исследователи обнаружили также 1400 экземпляров PLC одного типа, к которому легко получить доступ через Интернет. Многие из этих устройств находились за корпоративными брандмауэрами. Но это делает их защищенными лишь до тех пор, пока поддерживается безопасность сети.

Хотя против встроенных промышленных систем пока осуществлено немного настоящих атак с использованием программ-вымогателей, мы уже видели, как такие программы применялись против больниц и имели тяжелые последствия. В некоторых случаях размер требуемого выкупа ничто по сравнению с вредом, который причинило бы продолжение атаки. Применительно к больницам это может создать угрозу жизни людей, как и в случае с взятием в заложники систем водоснабжения.

2016

Европол, полиция Голландии, "Лаборатория Касперского" и McAfee запустили проект No More Ransom для борьбы с шифровальщиками-вымогателями

В 2016 году Европол, полиция Голландии, «Лаборатория Касперского» и McAfee (Intel Security) объявили о создании проекта No More Ransom, нацеленного на борьбу с шифровальщиками-вымогателями. Постепенно к проекту подключились и многие другие организации. На сайте размещено более двух десятков инструментов, с помощью которых жертвы разных шифровальщиков могут попытаться вернуть себе доступ к потерянным данным. [39]К сожалению, далеко не все шифровальщики обладают уязвимостями, позволяющими их «взламывать».

Trend Micro: Киберпреступники заработали от программ-вымогателей 1 млрд долларов

Компания Trend Micro представила в июне 2017 года краткое содержание и основные выводы отчета «Программы-вымогатели: прошлое, настоящее и будущее» (Ransomware: Past, Present, and Future). Подробнее об исследовании см. Кибератаки.

Первая атака с использованием программы-вымогателя была зафиксирована в России между 2005 и 2006 гг. В сообщении хакеры требовали 300 долларов США за возврат зашифрованных файлов. На первом этапе шифровались файлы с наиболее распространенными расширениями: .DOC, .XLS, .JPG, .ZIP, .PDF и т.д. Позднее появились разновидности программ-вымогателей, способные зашифровать данные на мобильных устройствах и даже повлиять на работу главной загрузочной записи. В конце 2013 г. появились разновидности программ, которые не только шифровали файлы, но и начинали удалять их, если жертва отказывались платить выкуп, например, такие как CryptoLocker.

Основные выводы отчета и прогнозы компании:

  • За 2016 г. количество семейств программ-вымогателей выросло на 752%.
  • В 2016 г. средняя сумма выкупа за возвращение доступа к файлам составила 0,5−5 биткоинов.
  • Атаки программ-вымогателей сегодня становятся все более целенаправленными, а в качестве основных средств распространения используется спам-рассылка (79%), заражение уже существующих или создание отдельных сайтов/ страниц в Интернете (20%), а также наборы эксплойтов.
  • Основной акцент злоумышленников смещается – с 2015 г. главной целью программ-вымогателей становятся на частные лица, а бизнес.
  • Программы-вымогатели теперь доступны как сервис. Модель Ransomware-as-a-service (программа-вымогатель как услуга) позволяет злоумышленникам получать еще больше денег.
  • При атаке на бизнес, злоумышленники чаще всего зашифровывают базы данных компании, на втором месте - SQL файлы.
  • В будущем возможно появление разновидностей программ-вымогателей, нацеленных на критическую инфраструктуру, а также промышленную систему управления предприятиями (ICS).

График ежемесячного прироста количества семейств программ-вымогателей, (2016)

Примеры крупнейших атак с использованием программ-вымогателей за второе полугодие 2016 г.:

  • В сентябре в результате атаки программы-вымогателя на муниципалитет города Спрингфилд (штат Массачусетс, США), его файлы были недоступны 10 дней.
  • В сентябре компания Vesk (Великобритания) заплатила злоумышленникам выкуп в размере 23 тыс. долларов США за возврат доступа к своим файлам.
  • В ноябре муниципалитет округа Мэдисон (штат Нью-Йорк, США) заплатил злоумышленникам 28 тыс. долларов за расшифровку файлов.
  • В ноябре из-за атаки программы-вымогателя на муниципальное транспортное агентство Сан-Франциско (San Francisco Municipal Transportation Agency), власти были вынуждены сделать проезд на общественном транспорте в городе бесплатным на определённое время.
  • В ноябре программа-вымогатель зашифровала порядка 33 тыс. файлов в системе муниципалитета округа Хауард (США).
  • В декабре клиника East Valley Community Health Center в США подверглась атаке программы-вымогателя, в результате которой пострадали записи около 65 тыс. человек. Они содержали личную информацию, медицинские данные и данные страховки.

Для того, чтобы минимизировать возможные риски и защититься от программ-вымогателей Trend Micro рекомендует:

  • Регулярно делать резервное копирование данных. При этом создавать три копии, в двух форматах, одну из копий необходимо хранить без доступа к Сети.
  • Регулярно обновлять используемое на устройствах ПО.
  • Проводить обучение персонала, освещая тему фишинга.
  • Ограничить доступ к конфиденциальной информации в компании.
  • Не платить выкуп.
  • Использовать современные решения для информационной защиты, которые включают в себя сетевой мониторинг, технологии анализа поведения, защиту от уязвимостей и т.д.

Вирус-вымогатель Петя (Petya)

В начале апреля 2016 года стало известно, что разработчики вирусов-шифровальщиков нашли новый способ сделать несчастными своих жертв. F-Secure, компания специализирующаяся на разработке систем кибербезопасности, 4 апреля 2016 г. выпустила предупреждение о "Пете"[40], новом виде вируса-шифровальщика, который блокирует весь жесткий диск компьютера вместо простого шифрования файлов на диске, как это делают другие подобные компьютерные вирусы.

По словам F-Secure, "Петя" шифрует MFT файловой системы, делая для операционной системы невозможным обнаружение нужных файлов, таким образом приводя компьютер в полностью неработоспособное состояние. MFT (англ. Master File Table — «Главная файловая таблица») — база данных, в которой хранится информация о содержимом тома с файловой системой NTFS, представляющая собой таблицу, строки которой соответствуют файлам тома, а столбцы — атрибутам файлов.

«Вирус устанавливает себя на главную загрузочную запись диска (MBR). Но вместо скрытых действий, он показывает красный экран с инструкцией о том, как восстановить систему», - написал главный специалист F-Secure по безопасности Джарко Теркулойнен.
Image:ransom_petya.jpg

Вирус-шифровальщик Петя (Petya) вероятно разработан в России

Атака на MFT занимает меньше времени, чем шифрование файлов на диске, при этом приводя к тем же результатам, добавил в комментариях к Dark Reading консультант по безопасности F-Secure Шон Салливан.

«Многие другие крипто-шифровальщики требуют времени и мощности процессора» сказал Салливан.

Жертвы подобных атак, на самом деле, часто сообщают что их компьютеры сильно тормозят во время атаки. В то время как домашние пользователи могут не знать, что вызвало снижение производительности, работники на предприятиях иногда имеют достаточно времени чтобы предотвратить полную потерю данных. С "Петей" это больше не вариант.

«Петя способен ударить по MFT за считанные секунды, перед тем как обрушить систему и выполнить перезагрузку. В условиях работы на предприятии, времени позвать на помощь не будет.»

Для своих жертв "Петя" представляет проблемы, нехарактерные для других вирусов-шифровальщиков. Поскольку Петя заражает MBR, он блокирует всю систему полностью. Поэтому жертве требуется найти другой компьютер с доступом в интернет чтобы заплатить вымогателю и восстановить доступ к своей скомпрометированной системе. Хотя это может само по себе не представлять проблемы для работников в офисе, у домашних пользователей это может вызвать затруднения, рассказал Салливан.

Петя также возлагает на пользователя задачу самостоятельно скачать браузер Tor - The Onion Router для доступа к скрытой ссылке для производства оплаты. «Петя не пытается предоставить прокси ссылки для службы Tor - The Onion Router» тем самым показывая, что авторов вредоносного кода не заботят сложности по установке Tor браузера, или просто они еще не создали данный функционал.

В какой-то степени, из-за того, что жертвам труднее заплатить вымогателю, авторы Пети возможно снижают свои шансы заработать на нем, сказал Салливан. Как результат, вероятность того что этот тип атаки получит более широкое распространение, будет зависеть от успеха авторов вируса в извлечении прибыли от "Пети".

«Это будет зависеть от того, смогут ли люди разобраться как заплатить. У вируса определенно есть некоторые преимущества в том, как он заражает систему. Поэтому мы вероятно увидим больше подобной активности, но еще слишком рано говорить, станет ли это распространённым явлением», - сказал Салливан.

Новости о "Пете" пришли посреди возросшего количества[41] опасений по поводу увеличения количества вирусов-шифровальщиков и их атак в последние месяцы. Многие верят, что успех авторов вирусов-шифровальщиков привлекает больше преступников, включая организованные преступные группы в сферу кибер-вымогательства. В последние месяцы, такие примеры вирусов-шифровальщиков как "Локки"[42], "ТеслаКрипт" и "Самас", заразили огромное количество индивидуальных пользователей и организаций, включая некоторые крупные госпитали США.

Большая волна атак заставила Министерство национальной безопасности США выпустить предупреждение [43] совместно с канадским Центром реагирования на кибер-происшествия, для информирования пользователей и организаций о серьезности данной угрозы. Предупреждение, сообщало пользователям и организациям о «опустошительных последствиях» атак вирусов-шифровальщиков.

«Восстановление может быть сложным процессом, в ходе которого потребуются услуги квалифицированного специалиста по восстановлению данных», - говорилось в предупреждении.

Для защиты от подобных кибер-атак частным лицами и организациям рекомендуется внедрить план по резервному копированию и восстановлению важных данных и использовать «белый список» чтобы быть уверенным, что на компьютере могут запускаться только специально разрешенные приложения. Другой совет заключается в том, чтобы поддерживать свое ПО в актуальном состоянии, регулярно устанавливая обновления и патчи, а также ограничить возможность установки и запуска приложений для пользователей.

2012: Начало быстрого роста применения шифровальщиков

Злоумышленники достаточно долго не могли «распробовать» шифровальщиков как инструмент вымогательства денег у домашних и корпоративных пользователей, но когда вошли во вкус, процесс пошел живее. С 2012 года число выявляемых шифровальщиков начало довольно быстро расти. Одновременно с этим стали совершенствоваться и методы использования различных алгоритмов шифрования.

Для работы с первыми шифровальщиками не требовались дополнительные инструменты, но для борьбы с образцами 2012 года такой номер уже не проходил. Наиболее популярные энкодеры того времени — Trojan.Encoder.94/102 и их модификации. В первом случае данные шифровались относительно простым симметричным алгоритмом, а вот 102-й не кодировал, а, скорее, ломал данные, отчего полноценная расшифровка оказывалась невозможна. Но некоторые типы файлов удавалось восстановить с помощью созданной специалистами компании «Доктор Веб» утилиты.

2005-2009: Зарождение шифровальщиков

Первый вирусный инцидент с троянцами семейства Trojan.Encoder был зафиксирован в мае 2005 года. Но простой алгоритм шифрования не сделал его особо эффективным — поврежденные троянцем файлы без особого труда лечились антивирусной программой. Не вызвал он особого ажиотажа и в среде злоумышленников — до лета 2007 года в вирусной базе Dr.Web антивирус было менее 10 записей для энкодеров. И все они также не требовали к себе какого-то «особого» отношения — зашифрованные файлы восстанавливались непосредственно антивирусом, без привлечения дополнительных утилит.

Вплоть до 2009 года появление различных вариаций было, скорее, «пробой пера» злоумышленников, постоянно находившихся в поиске новых методов атак на ПК и сети. В самом деле, создать серьезный шифровальщик, результаты деятельности которого не будут дешифроваться «на лету» или за очень короткий срок, — задача нетривиальная. А для вирусописателей-одиночек, на которых до недавнего времени держался мир вредоносного ПО, — просто непосильная. Ведь троянец-шифровальщик, как и следует из названия, кодирует файлы, а значит, именно навыки криптографии нужны его создателю в первую очередь.

Также стоит отметить ключевое отличие троянцев от компьютерных вирусов. Первые — самостоятельные приложения, а не «паразиты», цепляющиеся к файлам. Это определяет и ключевой момент в поведении антивируса и пользователя в отношении троянца. В то время как от вируса зараженный файл можно избавить, получив «чистую» версию оригинала, троянца вылечить невозможно, ибо он сам по себе является вредоносным файлом. Даже если это легитимное приложение с «теневым» функционалом, оно все равно цельное, устранить его негативный эффект можно только полным удалением.

Троянец-шифровальщик не имеет механизмов распространения. Более того, даже попав на компьютер, он не в состоянии активизироваться самостоятельно. По сути, энкодер представляет собой обычную программу, которая начинает работать, только когда пользователь сам запустил ее на выполнение или запустил скрипт-загрузчик, который и установит троянца.

Смотрите также

Контроль и блокировки сайтов

Анонимность

Критическая инфраструктура

Импортозамещение


Информационная безопасность и киберпреступность

* Регулирование интернета в Казахстане, KZ-CERT




Примечания

  1. Dr.Web. Троянцы-шифровальщики. Эпидемия с 2006 года
  2. Ransomware in 2024: New players, bigger payouts, and smarter tactics
  3. Record-Breaking $75 Million Ransom Paid To Dark Angels Gang
  4. Ransomware incidents hit 117 countries in 2023, task force says
  5. Ransomware and extortion incidents surged by 67% in 2023, according to NTT Security Holdings 2024 Global Threat Intelligence Report
  6. Arctic Wolf Threat Report Highlights Sharp Rise in Ransom Demands and BEC Incidents
  7. Ransomware Payments Exceed $1 Billion in 2023, Hitting Record High After 2022 Decline
  8. Alliance of 40 countries to vow not to pay ransom to cybercriminals, US says
  9. Italy targeted by wide-ranging cyberattack
  10. IBM Report: Ransomware Persisted Despite Improved Detection in 2022
  11. Ransomware Attacks, Payments Declined In 2022: Report
  12. [https://therecord.media/dragos-ransomware-report-2022-ics-ot-lockbit/ Ransomware attacks on industrial infrastructure doubled in 2022: Dragos
  13. Ransomware Revenue Down As More Victims Refuse to Pay
  14. [1]
  15. Хакеры Ransom Cartel используют инструменты и исходный код шифровальщика REvil
  16. Центр анализа угроз Microsoft заявил о кибератаке на транспортные фирмы Украины и Польши
  17. [https://www.securitylab.ru/news/532758.php Новое вымогательское ПО маскируется под обновление Google Подробнее: https://www.securitylab.ru/news/532758.php]
  18. </ Шифровальщик Hive окончательно перешел на Rust и стал опаснее
  19. Новые вымогатели Goodwill требуют от жертв совершить три добрых поступка
  20. Эксперты вычислили скорость шифрования файлов десяти нашумевших вымогательских семейств
  21. Новое вымогательское ПО LokiLocker оснащено функциями вайпера
  22. Ransomware Attacks Surged to New Highs in 2021
  23. [2]
  24. Ransomware attacks surged 2X in 2021, SonicWall reports
  25. Ransomware 2021 Year End Report Reveals Hackers are Increasingly Targeting Zero-Day Vulnerabilities and Supply Chain Networks for Maximum Impact
  26. IDC Survey Finds More Than One Third of Organizations Worldwide Have Experienced a Ransomware Attack or Breach
  27. Ransomware Recovery Cost Reaches Nearly $2 Million, More Than Doubling in a Year, Sophos Survey Shows
  28. FACT SHEET: Ongoing Public U.S. Efforts to Counter Ransomware
  29. Nearly half of retailers hit by ransomware in 2020
  30. Ransomware gangs made at least $350 million in 2020
  31. Group-IB опубликовала прогнозы по киберугрозам, с которыми мир столкнется в новом году
  32. Написанный на необычном языке шифровальщик нападает на Linux-серверы
  33. Жертвы вирусов-вымогателей выплатили более $25 млн с 2014 года
  34. Ransomware Attacks Continue in Ukraine with Mysterious WannaCry Clone
  35. [3]
  36. Ransomware negotiation stirs controversy in Korea
  37. Sophos CEO sounds the alarm on enterprise ransomware attacks
  38. Исследователи создали программу-вымогателя для промышленных систем
  39. DECRYPTION TOOLS
  40. Petya: disk-encrypting ransomware
  41. Ransomware Will Spike As More Cybercrime Groups Move In
  42. Here Comes Locky, A Brand New Ransomware Threat
  43. Alert (TA16-091A) Ransomware and Recent Variants